教育出版大手マグロウヒル、学生10万人以上のデータを公開状態に

2022年12月24日 21:56

印刷

記事提供元:スラド

headless 曰く、 米教育出版大手マグロウヒルが Amazon S3 バケットの誤設定により、同社のオンライン学習プログラムを利用する学生 10 万人以上のデータを公開状態にしていたそうだ(vpnMentorのブログ記事The Register の記事HackRead の記事)。

発見した vpnMentor は今年 6 月 12 日、マグロウヒルのものとみられる 2 つの S3 バケットが公開状態になっているのを発見。1 つは本番用バケットでデータ量 12 TB 以上、4,700 万個以上のファイルを含む。もう 1 つは開発用バケットでデータ量 10 TB 以上、6,900 万個以上のファイルを含んでおり、合計でデータ量は 22 TB 以上、ファイルは 1 億 1,700 万個以上におよぶ。

vpnMentor では倫理的なルールに従って調査を行い、少数のサンプルのみを確認したため全容は不明だが、推定で学生 10 万人分以上の個人を特定可能な情報 (PII) が含まれていたという。データは 2015 年からアクセス可能な状態にあったが、実際に悪意ある第三者がデータにアクセスしたかどうかは不明だ。マグロウヒルは米三大教育出版社の一つで以前からオンライン学習プログラムを開発していたが、COVID-19パンデミックを受けて事業の拡大が加速したとのこと。

vpnMentor はマグロウヒルへの連絡を 6 月 13 日から 7 月 4 日までに 9 回試みたが返信はなく、US-CERT への連絡も 6 月 27 日から 7 月 4 日までに 4 回試みたが返信はなかったという。そのため、マグロウヒルのウェブサイトでライブチャットを通じてサイバーセキュリティ責任者の連絡先を入手。9 月 8 日・19 日・21 日と電子メールを送り、9 月 21 日にようやく届いた返信で個人情報を 7 月 20 日に削除したと知らされたとのことだ。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | クラウド | 教育 | 情報漏洩 | プライバシ

 関連ストーリー:
gmailをgmaiと誤入力して新入生135人の個人情報が流出。京都市立芸術大 2021年04月02日
前橋市教委、不正アクセス被害を受けたサーバーの管理運用委託先であるNTT東に損害賠償を請求へ 2018年09月01日
北海道大学、学生の個人情報約など11万件が流出したおそれがあると発表 2016年01月16日
首都大学東京で学内向けNASが外部に公開されていたことが明らかに、学生ら5万1000人分の個人情報流出の可能性も 2015年01月20日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事