Cybernews 研究團(tuán)隊發(fā)現(xiàn)，熱門大學(xué)錄取平臺 Leverage EDU 泄露了近 24萬份敏感文件，包括學(xué)生的電話號碼、財務(wù)信息、證書和考試成績。

Cybernews指出，泄露問題出自系統(tǒng)配置錯誤，導(dǎo)致任何人不需要任何身份驗證，均可以訪問所有大學(xué)申請者的個人信息。

在一個名為Amazon S3 的被暴露的數(shù)據(jù)存儲桶中，研究人員發(fā)現(xiàn)其中包含大量zip 文件夾，涉及近24萬名學(xué)生的敏感數(shù)據(jù)和個人身份信息 (PII)。研究人員還注意到許多個人身份證明文件，包括屬于學(xué)生及其父母的護(hù)照照片。

泄露的護(hù)照截圖（圖片來自 Cybernews）

此外，大量詳細(xì)的財務(wù)信息也被暴露，包括銀行對賬單、學(xué)生貸款文件、貸款共同簽署人的身份證明文件和工資單。

Leverage EDU 泄露的確認(rèn)郵件截圖（圖片來自 Cybernews）

研究人員警告，如此大規(guī)模且信息詳細(xì)的數(shù)據(jù)泄露，可以讓攻擊者以此進(jìn)行身份盜用和欺詐，比如進(jìn)行魚叉式網(wǎng)絡(luò)釣魚攻擊，精確地瞄準(zhǔn)個人，從而使他們的財務(wù)和其他賬戶面臨風(fēng)險。

為遏制此次數(shù)據(jù)泄露，Cybernews 建議受影響的用戶要注意銀行賬戶是否有任何可疑活動。為減輕與網(wǎng)絡(luò)釣魚活動相關(guān)的風(fēng)險，用戶在接收消息時應(yīng)謹(jǐn)慎行事，避免點擊來歷不明的鏈接，并通過可信來源驗證可疑電子郵件中的信息。

此外，受泄露影響的學(xué)生應(yīng)聯(lián)系負(fù)責(zé)簽發(fā)這些文件的政府部門，要求其作廢并簽發(fā)新文件。

Leverage EDU是為出國留學(xué)學(xué)生提供的一站式錄取平臺，2022年在全球擁有650 多家教育機(jī)構(gòu)以及多達(dá)8000 萬的龐大用戶群體。自新冠疫情以來，該公司在印度各地開設(shè)了分支機(jī)構(gòu)，在英國和澳大利亞也設(shè)有辦事處。