德克薩斯州學校安全軟件數據泄露危及學生安全

此次數據泄露是由于德克薩斯州學校安全軟件提供商Raptor Technologies的數據庫配置錯誤造成的。

涉及德克薩斯州學校安全軟件提供商Raptor Technologies的數據泄露事件暴露了數百萬條有關學生、家長和教職員工的敏感記錄。

網絡安全研究員Jeremiah Fowler發現的這次泄露暴露了個人信息、事件響應計劃、基礎設施挑戰以及有關高危學生的文件，引發了對學生隱私和學校安全的擔憂。這次泄露暴露了大約4024001條記錄，使學生面臨眾多安全風險。

福勒說：“我審查了有限的文件和日志記錄樣本，其中包含與學生、教師、家長以及學校安全計劃或程序相關的敏感信息。”

我立即發送了一份負責任的披露通知，并收到確認，這些數據確實屬于Raptor Technologies，”Fowler在VPNMentor于2024年1月11日發布的博客文章中寫道。

部分暴露的記錄包括學校事件響應計劃、教室布局、基礎設施挑戰、背景調查系統詳細信息和有風險的學生文件，包括他們的“個人和醫療狀況、他們可能遇到的任何心理健康或法律問題，以及他們對學校構成威脅。”

此外，它還包含法院下令的保護令、離婚令和每月演習。它還包括掃描的PDF文件和法律文件的圖像。總之，福勒成功地分析了大量記錄，包括以下內容：

Raptor Technologies保護了數據庫并限制了公眾訪問。暴露和潛在惡意訪問的持續時間仍然未知，因為只有內部取證審計才能識別潛在威脅。

值得注意的是，Raptor Technologies為學校提供了訪客管理系統，用于跟蹤和篩選訪客、志愿者和承包商，確保他們不在性犯罪者登記冊或觀察名單上。該軟件被全球60000多所學校使用，其中包括美國5300個學區。該風險可能會影響近40%的美國學校。

未受保護的數據庫暴露了敏感數據，例如學校地圖、攝像頭位置、安全漏洞、集合點和應急響應計劃。如果網絡犯罪分子訪問這些內容，可能會造成現實世界的后果。法庭記錄包含限制令、刑事犯罪、離婚協議和個人信息，增加了身份盜竊或金融犯罪的風險。

此外，健康記錄泄露了學生的健康表格，損害了隱私和機密性。事故報告和安全演習總結報告包含學生的姓名和詳細的危險行為，這可能會威脅到他們以后的生活。學校地圖標明了教室位置、房間號、疏散路線和攝像頭位置，帶來了額外的隱私風險。

福勒建議學校和數據管理公司采取積極主動的網絡安全措施，包括限制訪問、定期評估和加密敏感信息。