أدى فشل في تكوين قاعدة بيانات التطبيق التعليمي LectureNotes إلى كشف أكثر من مليوني سجل مستخدم، كما اكتشفته مجموعة أبحاث Cybernews. وقد كشف هذا الفشل في حماية البيانات عن حجم كبير من المعلومات الشخصية ومعلومات الوصول للمستخدمين، بما في ذلك مسؤولي التطبيق.
تم تحديد هذا المشكل من قبل الباحثين في ديسمبر 2023، عند فحص قاعدة بيانات MongoDB التي تم تكوينها بشكل خاطئ والتي تنتمي إلى LectureNotes، أحد تطبيقات الطلاب الأكثر استخدامًا في العالم. قدمت قاعدة البيانات هذه، التي تم تحديثها مباشرة، البيانات الشخصية وبيانات الوصول لحوالي 2,165,139 سجل مستخدم.تتضمن المعلومات المكشوفة: اسم المستخدم والاسم الأول والأخير وعنوان البريد الإلكتروني وكلمات المرور المشفرة ورقم الهاتف وعنوان IP وتفاصيل وكيل المستخدم ورموز الجلسة. بالإضافة إلى ذلك، تم الكشف عن التفاصيل المرتبطة بتفويض بعض المسؤولين، مثل المعرفات والمفاتيح السرية.
في حين أن جميع البيانات المكشوفة تشكل بالفعل تهديدًا للمستخدمين المتأثرين، فإن الكشف عن الرموز المميزة للجلسة يمثل خطرًا أكثر خطورة. يمكن للمهاجم الوصول بشكل غير صحيح إلى جلسات المستخدم دون الحاجة إلى كلمات مرور. "وبالمثل، فإن تفاصيل الترخيص الخاصة بالمسؤولين المخترقين، بما في ذلك المعرفات والمفاتيح السرية، تزيد من المخاطر من خلال توفير الوصول غير المصرح به إلى الحسابات المميزة، مما قد يؤدي إلى إجراءات ضارة وسيطرة غير مصرح بها على قدرات النظام الأساسي."
يمكن استخدام الرموز المميزة للجلسة التي تم الكشف عنها لتسجيل الدخول إلى جلسة المستخدم دون إدخال كلمة المرور. بالإضافة إلى ذلك، يمكن للمهاجمين السيبرانيين الاستفادة من بيانات اعتماد الإدارة المسربة لنشر برامج الفدية، وتنفيذ هجمات التصيد الاحتيالي، والتسبب في أضرار أخرى محتملة كبيرة. بعد تحذير الباحثين، أصلحت LectureNotes الخطأ الذي تسبب في تسرب البيانات بشكل كبير، ولكن لا يُستبعد أن تكون المعلومات قد وقعت في الأيدي الخطأ. يُنصح جميع مستخدمي التطبيق بتغيير كلمات المرور الخاصة بهم إلى كلمات مرور أكثر أمانًا، بالإضافة إلى كلمات المرور الخاصة بتحدي الخدمات التي يتم فيها استخدام نفس مفتاح الوصول.
ليست هناك تعليقات:
إرسال تعليق