Popüler Eğitim Aracı OneClass Milyonlarca Öğrencinin Bilgisini İfşa Etti

Güvenlik araştırmacıları, öğrencilerin ders notları ve çalışma kılavuzlarını paylaşmak için kullandığı OneClass hizmetinde yaşanan güvenlik zafiyetinin 1 milyondan fazla kullanıcı bilgisini ifşa ettiğini açıkladı. Zafiyetin, iyi korunmayan bir veri tabanında yaşandığı belirtildi.

İfşa edilen veri tabanında toplam 9 milyon kullanıcı bilgisi bulunduğu kaydedilirken toplam boyutu 27 GB olan veri tabanında, 2 milyon sayfadan daha fazla metin yer alıyor.

İfşa edilen kişisel bilgilerin tüm kullanıcı isimleri, e-posta adresleri, telefon numaraları ve ders kayıt bilgileri içerdiği anlaşıldı. OneClass kullanıcı yaşının 13’ten başlıyor olması, sızdırılan bilgilerin bir kısmının genç öğrencilere ait olduğu ihtimalini güçlendiriyor.

Güvenlik araştırmacıları, internet taraması esnasında tespit ettikleri güvenliği sağlanmamış bilgilerin OneClass’e ait olduğunu doğruladıktan sonra şirket ile temasa geçti. Bunun üzerine OneClass, 24 saat içinde veri tabanının güvenliğinin sağlandığını duyurdu.

Platform, yaptığı açıklamada veri tabanının sadece test amaçlı kullanıldığını ve depolanan bilgilerin “gerçek bireyler ile ilgili olmadığını” öne sürdü.
Güvenlik araştırmacıları ise ellerine geçen veriler ışığında bu açıklamanın şüpheli olduğunu bildiriyor…

Bilgilerin güncel olduğu anlaşıldı

İnternete sızan verilerin küçük bir kısmı üzerinde yapılan analizler, verilerin kamuda hazır bulunan bilgiler ile anında eşleştiğini, yani güncel olduğunu gösterdi. Araştırmacılar, sayısız veri kaydından kişisel tanımlanabilir bilgilerin (PII) çıkarılmasının ardından öğretmenlere ve diğer platformlardaki kullanıcılara ait bilgilerin OneClass veri tabanındaki bilgiler ile uyuştuğunu tespit etti.

OneClass üyelik paketlerinin yanı sıra ödeme gerektiren ek içerikler de sunuyor. Araştırmacılar, ifşa edilen verilerde ödeme bilgisine rastlanmadığını açıkladığı için şirket yöneticileri derin bir nefes almış durumda.

Öte yandan, güvenlik uzmanları ifşa edilen bilgilerin siber korsanlar için en ideal malzemeleri temsil ettiğinin altını çizdi. Derslere ait bilgiler ile öğrencilerin kişisel bilgileri, gelişmiş sosyal mühendislik saldırıları düzenleme odağında kullanılabilir.