Il ricercatore sulla sicurezza informatica, Jeremiah Fowler, avverte sul pericoloso database esposto che contiene 680.000 record sensibili relativi a scuole accreditate dalla Southern Association of Independent Schools (SAIS).
Un’importante scoperta è stata fatta dal ricercatore di sicurezza informatica, Jeremiah Fowler che ha segnalato a WebsitePlanet la presenza di un database non protetto da password contenente dati di oltre 680.000 record appartenenti a istituti scolastici. Dopo ulteriori indagini, si è identificato che i documenti appartenevano alla Southern Association of Independent Schools, Inc (SAIS), un’organizzazione senza scopo di lucro che supporta scuole ed educatori negli Stati Uniti e in molti altri paesi.
La scoperta ha rivelato un vasto assortimento di informazioni sensibili relative agli studenti, insegnanti e alle strutture scolastiche, datate dal 2012 al 2023. Il database, che ammontava a una dimensione totale di 572,8 GB, conteneva file in vari formati, tra cui PDF, Excel, PPTX, doc, docx, png, jpg, e altri. I documenti includevano rapporti sulla sicurezza di terze parti, dati finanziari, informazioni mediche private, controlli dei precedenti degli insegnanti, numeri di previdenza sociale (SSN), notifiche di sparatutto attivo e blocco, mappe delle scuole, budget finanziari e molto altro.
Una delle particolarità inquietanti della scoperta erano i rapporti sulla sicurezza di terze parti contrassegnati come riservati, che esaminavano i punti deboli nella sicurezza delle scuole, le posizioni delle telecamere, i punti di accesso e di ingresso, e altro ancora. Questi documenti potrebbero rappresentare un rischio potenzialmente serio per la sicurezza del mondo reale per gli studenti e gli insegnanti.
Jeremiah Fowler ha inviato immediatamente un avviso di divulgazione responsabile a SAIS, che ha prontamente agito per proteggere il database dall’accesso pubblico. Tuttavia, la scoperta solleva preoccupazioni riguardo ai possibili rischi e utilizzi impropri dei dati esposti. Con così tante informazioni personali raccolte e archiviate da diverse scuole affiliate, vi è il potenziale per gravi conseguenze a causa di una violazione dei dati.
I dati sensibili esposti in questo database potrebbero essere utilizzati per scopi criminali, che vanno dall’estorsione al furto di identità o altri crimini finanziari. Ad esempio, i documenti fiscali rinvenuti contenevano informazioni sulla persona giuridica, codice fiscale e contratti di prestito, che, in mani sbagliate, potrebbero consentire a criminali di richiedere prestiti o ottenere credito a nome delle scuole coinvolte.
Le istituzioni educative, inclusa SAIS e le scuole affiliate, sono tenute a rispettare rigorose leggi sulla protezione dei dati, come il Family Educational Rights and Privacy Act (FERPA) e il Children’s Online Privacy Protection Act (COPPA). Inoltre, è essenziale adottare tutte le misure possibili per mitigare i rischi di una violazione dei dati. Ciò include l’implementazione di misure di sicurezza informatica di base, formazione del personale sulle migliori pratiche di sicurezza informatica e lo sviluppo di un piano di risposta agli incidenti per gestire eventuali violazioni.
La scoperta di questo database esposto solleva importanti questioni sulla sicurezza dei dati nelle istituzioni educative e richiede una maggiore consapevolezza riguardo alla protezione delle informazioni personali degli studenti, insegnanti e personale delle scuole. La rapida azione intrapresa da SAIS per proteggere il database è stata apprezzata, ma è fondamentale che tutte le organizzazioni coinvolte mantengano elevati standard di sicurezza informatica per garantire la privacy e la sicurezza delle informazioni dei membri della comunità scolastica.
