学校儿童特殊教育服务数据泄露

关键要点

最近，安全研究员 Jeremiah Fowler 发现了与 Encore Support Services 相关的近 50000 条记录，该机构为学校儿童提供特殊教育和行为健康服务。这些数据的泄露是由于一个未设置密码保护的数据库暴露在互联网上。

Fowler 总共发现了 47192 条网络上暴露的记录，大小达到 674 GB，均为 Encore Support Services 的发票。这些文件提交给了纽约的公正听证命令实施单位、特殊教育部和学生支持办公室。

在深入分析后，发现这些记录是属于 Encore Support Services 的发票，该公司在纽约、新泽西和密歇根州均设有办事处。发现数据泄露后，Fowler 向 vpnMentor 报告了此事件。

Fowler 在其博客中提到：“这些敏感的学生记录没有密码保护或加密，公开暴露于任何互联网用户面前。”

以下是暴露的发票中所包含的信息：

这些发票直接描述了学生的诊断情况，包括可能标识其服务需求特征的多个代码。例如，如果个体需要特殊需求服务，这些信息将清楚地显示在记录中。

一些记录的日期早至 2018 年，部分学生一直依赖这些服务多年。此外，文件中还包含了关于供应商的大量敏感信息，包括其税务识别号EIN或社会安全号码以及详细的付款请求账单时数。

Fowler 指出：“儿童的个人身份信息 (PII) 不应公开访问。”

值得一提的是，Encore Support Services 并未被指控违法。此报告旨在识别潜在的暴露风险以及攻击者可能利用该信息的方式。

在网络攻击者手中，这类信息可能被用于目标明确的社交工程攻击、欺诈或身份盗窃等不法活动。

Fowler 在发现该未安全数据库后向 Encore Support Services 发送了负责任的信息披露通知。然而，“尚不清楚这些记录被曝光的时间有多长，以及是否有其他人可能也接触过这些数据。同时，也不清楚家长、学校官员或相关当局是否已被通知此数据的泄露。”