Sun. Apr 11th, 2021

Edraak, una organización sin fines de lucro de educación en línea, expuso la información privada de miles de estudiantes después de cargar los datos de los estudiantes en un servidor de almacenamiento en la nube desprotegido, aparentemente por error.
La organización sin fines de lucro, fundada por la reina Rania de Jordania y con sede en la capital del reino, se estableció en 2013 para promover la educación en toda la región árabe. La organización trabaja con varios socios, incluidos el British Council y edX, un consorcio creado por Harvard, Stanford y MIT.
En febrero, los investigadores de la empresa de ciberseguridad del Reino Unido TurgenSec encontraron uno de los servidores de almacenamiento en la nube de Edraak que contenía al menos decenas de miles de datos de estudiantes, incluidas hojas de cálculo con los nombres de los estudiantes, direcciones de correo electrónico, sexo, año de nacimiento, país de nacionalidad y algunas calificaciones de las clases. .
TurgenSec, que ejecuta Breaches.UK, un sitio para revelar incidentes de seguridad, alertó a Edraak sobre el fallo de seguridad. Una semana después, la organización reconoció su correo electrónico, pero los datos continuaron difundiéndose. Los correos electrónicos vistos por TechCrunch muestran que los investigadores intentaron alertar a otros que trabajaban en la organización a través de solicitudes de LinkedIn y sus socios, incluido el British Council.
Pasaron dos meses y el servidor permaneció abierto. A petición suya, TechCrunch se puso en contacto con Edraak, que cerró los servidores unas horas más tarde.
En un correo electrónico esta semana, el director ejecutivo de Edraak, Sherif Halawa, le dijo a TechCrunch que el servidor de almacenamiento estaba "destinado a ser de acceso público y para albergar activos de contenido de cursos públicos, como imágenes de cursos, videos y archivos educativos", pero que "los datos de los estudiantes nunca se coloca intencionalmente en este cubo ".
"Sin embargo, debido a un desafortunado error de configuración, algunos datos académicos y las exportaciones de información de los estudiantes se colocaron accidentalmente en el cubo", confirmó Halawa.
“Desafortunadamente, nuestro escaneo inicial no localizó los datos extraviados que llegaron allí accidentalmente. Atribuimos los elementos del correo electrónico de Breaches.UK a las cargas regulares de los estudiantes. Hoy hemos localizado estos informes fuera de lugar y hemos abordado el problema ”, dijo Halawa.
El servidor ahora está cerrado al acceso público.
No está claro por qué Edraak ignoró el correo electrónico inicial de los investigadores, que reveló la ubicación del servidor desprotegido, o por qué la respuesta de la organización fue no solicitar más detalles. Cuando fue contactada, la portavoz del British Council, Catherine Bowden, dijo que la organización recibió un correo electrónico de TurgenSec pero lo confundió con un correo electrónico de phishing.
El director ejecutivo de Edraak, Halawa, dijo que la organización ya había comenzado a notificar a los estudiantes afectados sobre el incidente y publicó una publicación en el blog el jueves.
El año pasado, TurgenSec encontró una base de datos de clientes sin cifrar perteneciente al proveedor de Internet del Reino Unido Virgin Media que se dejó en línea por error, que contiene registros que vinculan a algunos clientes con sitios web explícitos y para adultos.
Más de TechCrunch:


Envíe sugerencias de forma segura a través de Signal y WhatsApp al + 1646-755-8849. También puede enviar archivos o documentos utilizando nuestro SecureDrop. Aprende más.

By Maria Montero

Me apasiona la fotografía y la tecnología que nos permite hacer todo lo que siempre soñamos. Soñadora y luchadora. Actualmente residiendo en Madrid.

Leave a Reply

Your email address will not be published. Required fields are marked *