Портал Edulog раскрывает GPS-координаты школьников и данные их родителей

Интернет-портал Edulog позволяет родителям и педагогам по всей Северной Америке отслеживать перемещения школьников. Программа показывает пункты посадки и высадки, время прибытия автобусов, изменения маршрутов и прочую информацию.

Недавно специалисты из компании Tenable обнаружили в этой системе серьезную уязвимость, которая открывает доступ к персональным данным школьников с подготовительного по 12 классы. Данные включают: имена и фамилии, маршруты школьных автобусов, сведения о родителях, gps-координаты, а также параметры авторизации (логины и зашифрованные пароли) во внешних сервисах, интегрированных с порталом. Пока не ясно, смог ли кто-либо из злоумышленников получить доступ и использовать эту информацию в своих целях.

Tenable сразу же сообщила Edulog об обнаруженных проблемах. К 30 ноября 2023 года дефект был устранен.

По словам специалистов, такие уязвимости часто встречаются в отраслях, где вопросы кибербезопасности решаются формально - скорее для получения необходимых сертификатов. При этом разработчики не уделяют должного внимания поиску и устранению брешей в системе защиты данных.

«В этой ситуации ответственность лежит на всех задействованных сторонах – сотрудниках Edulog, представителях школьных округов и родителях, пользующихся данными сервисами. Все они должны гарантировать надлежащую защиту связанных с этими сервисами сведений. Например, даже без уязвимостей, ничто не мешает злоумышленнику зарегистрироваться в системе и получить регистрационный код для конкретной школы иными путями» - отмечают исследователи.