Forscher bei vpnMentor entdeckten eine ungesicherte Azure-Datenbank von MyEasyDocs, einem indischen Unternehmen, das personenbezogene Daten und akademische Details Tausender von Studenten weitergegeben hat.
Betroffen sind indische und israelische Studenten, die MyEasyDocs verwendet haben, um ihre verifizierten Zertifikate bei Institutionen einzureichen. Das Unternehmen hat die Datenbank gesichert, nachdem es von den Forschern von vpnMentor benachrichtigt wurde. MyEasyDocs-Benutzern wird jedoch geraten, sich vor möglichen Cyberbetrügereien in Acht zu nehmen.
Eine ungesicherte Microsoft Azure-Datenbank
Obwohl Cloud-Dienste aufgrund ihrer günstigen und effizienten Speichermöglichkeit immer beliebter werden, wissen viele Benutzer noch nicht, wie sie diese richtig konfigurieren. In der Vergangenheit gab es zahlreiche Fälle, in denen Unternehmen Datenbanken mit Kundendaten ohne Passwort online stellten – wodurch ihre personenbezogenen Daten für jedermann greifbar wurden!
Nun erleben wir einen weiteren Vorfall, in den ein indisches Unternehmen namens MyEasyDocs verwickelt ist – ein Online-Dokumentenüberprüfungsdienst, der in Indien von Banken, Universitäten, Strafverfolgungsbehörden usw. genutzt wird.
Anfang Februar Forscher von vpnMentor haben eine ungesicherte Microsoft Azure-Datenbank von MyEasyDocs entdeckt, die über 50.000 Dateien von mehr als 10.000 Studenten enthält! Bei diesen Dateien handelt es sich meist um Zeugnisse, die die akademischen und persönlichen Daten indischer und israelischer Studierender preisgeben.
Forscher entdeckten eine mit dem Unternehmen verknüpfte URL, die von MyEasyDocs zum Hochladen und Teilen von Zeugnissen indischer und israelischer Studenten verwendet wird. Da die Inhalte im Internet für jeden zugänglich waren, konnten Forscher die geteilten Inhalte abfangen und überprüfen. Sie stellten fest, dass die folgenden Daten offengelegt wurden:
- Ganze Namen
- Studienfächer
- Personalausweis und Universitäts-/College-Registrierungsnummern
- Termine des Abschlusses
- Noten
- E-Mails
- Telefonnummern
Bald darauf kontaktierten sie das israelische CERT, um es eine Woche später über den Verstoß und die Anbieter zu informieren. Bis Mitte Februar hatte das Unternehmen die offengelegte Datenbank gesichert. Allerdings warnen die Forscher, dass exponierte Benutzer verschiedenen Cyberbedrohungen wie Phishing und Identitätsangriffen ausgesetzt sein könnten und daher vorsichtig sein sollten, um diese zu vermeiden.
