- 9,719
- 18
- 8 Ноя 2022
Сервис для мониторинга школьных автобусов оказался не самой безопасной идеей.
Интернет-портал Edulog позволяет родителям и педагогам по всей Северной Америке отслеживать перемещения школьников. Программа показывает пункты посадки и высадки, время прибытия автобусов, изменения маршрутов и прочую информацию.
Недавно специалисты из компании Tenable Для просмотра ссылки Войдиили Зарегистрируйся в этой системе серьезную уязвимость, которая открывает доступ к персональным данным школьников с подготовительного по 12 классы. Данные включают: имена и фамилии, маршруты школьных автобусов, сведения о родителях, gps-координаты, а также параметры авторизации (логины и зашифрованные пароли) во внешних сервисах, интегрированных с порталом. Пока не ясно, смог ли кто-либо из злоумышленников получить доступ и использовать эту информацию в своих целях.
Tenable сразу же сообщила Edulog об обнаруженных проблемах. К 30 ноября 2023 года дефект был устранен.
По словам специалистов, такие уязвимости часто встречаются в отраслях, где вопросы кибербезопасности решаются формально - скорее для получения необходимых сертификатов. При этом разработчики не уделяют должного внимания поиску и устранению брешей в системе защиты данных.
«В этой ситуации ответственность лежит на всех задействованных сторонах – сотрудниках Edulog, представителях школьных округов и родителях, пользующихся данными сервисами. Все они должны гарантировать надлежащую защиту связанных с этими сервисами сведений. Например, даже без уязвимостей, ничто не мешает злоумышленнику зарегистрироваться в системе и получить регистрационный код для конкретной школы иными путями» - отмечают исследователи.
Интернет-портал Edulog позволяет родителям и педагогам по всей Северной Америке отслеживать перемещения школьников. Программа показывает пункты посадки и высадки, время прибытия автобусов, изменения маршрутов и прочую информацию.
Недавно специалисты из компании Tenable Для просмотра ссылки Войди
Tenable сразу же сообщила Edulog об обнаруженных проблемах. К 30 ноября 2023 года дефект был устранен.
По словам специалистов, такие уязвимости часто встречаются в отраслях, где вопросы кибербезопасности решаются формально - скорее для получения необходимых сертификатов. При этом разработчики не уделяют должного внимания поиску и устранению брешей в системе защиты данных.
«В этой ситуации ответственность лежит на всех задействованных сторонах – сотрудниках Edulog, представителях школьных округов и родителях, пользующихся данными сервисами. Все они должны гарантировать надлежащую защиту связанных с этими сервисами сведений. Например, даже без уязвимостей, ничто не мешает злоумышленнику зарегистрироваться в системе и получить регистрационный код для конкретной школы иными путями» - отмечают исследователи.
- Источник новости
- www.securitylab.ru
