在Noam Rotem和Ran Locar的帶領下，vpnMentro研究團隊剛剛在一個大型Web映射項目中發現了OneClass數據庫中的一個嚴重漏洞。作為一個遠程教育平台，其旨在向北美數以百萬計的學生提供學習指導和幫助材料。然而新公佈的這個漏洞，卻將北美超過100萬學生的私人數據，暴露在了公共網絡之中。

網站截圖

在學生們因為COVID-19大流行而被迫在家學習的大環境下，此類教育平台的重要程度被提升到了新的高度。

據悉，OneClass 成立於2010 年，目前總部位於加拿大多倫多。然而對用戶數據的保護失當，導致其成為了被黑客盯上的一座金礦。

該公司聲稱幫助60 多萬名學生完成了學業，但實際數字可能要高得多。vpnMentor 預計其錯誤地存儲了超過百萬人的數據，其中包括那些已不再是其會員的用戶。

雖然OneClass 表示某些學習資料是免費的，但最有價值的那些，仍需要成為付費會員才能獲得。

在事件曝光後，vpnMentor 立即與數據庫所有者OneClass 取得了聯繫。

作為響應，後者立即對數據庫施加了保護，但聲稱出現問題的只是測試用的服務器，辯稱存儲在上面的任何數據都與真實用戶無關。

然而在調查區間，vpnMentor 還是藉助公開可用的信息，對數據庫中的一小部分記錄進行了驗證。

通過比對從眾多記錄中獲取的PII 數據，可知OneClass 數據庫中的資料，確實與各平台上的講師、以及其它用戶的社交資料匹配一致。

基於此，vpnMentor 再次聯繫OneClass 以溝通相關證據。遺憾的是，該公司沒有給出進一步的答复。

OneClass 在官網上寫道，其已採取必要的物理、技術和管理措施，以最高敏感度的標準來保障個人數據的安全。然而vpnMentor 團隊的發現表明，情況並非如此。

據悉，該公開數據庫基於Elasticsearch 框架打造，並託管在一點也不安全的亞馬遜雲服務（AWS）上。

其中包含了超過27GB 的數據，總計890 萬條的記錄，曝光了超過100 萬OneClass 用戶的個人身份信息（PII），比如全名、郵件地址、所在學校、電話號碼、課程註冊詳情等。

鑑於OneClass 還提供了面向高中生的資源、並接受13 歲以上用戶的註冊，因此其中某些數據可能還屬於未成年人。

Report: Educational Platform Exposes Private Data of Over 1 Million Students across North America