与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

数据泄露影响超过1000万公民 马来西亚教育部SAPS系统紧急下线

发布时间:2018-06-11 来源: 浏览次数:7641次


据马来西亚媒体Malay Mail报道,在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后,由马来西亚教育部推出的学校考试分析系统(Sitem Analisis Peperiksaan SekolahSAPS)被迫紧急下线。

报道指出,一位要求匿名的读者在上周五晚向Malay Mail爆料称,教育部此前无视他的警告,迫使他不得不向媒体寻求帮助。

在与技术博客博主Keith Rozario(广泛涉及数据泄露)以及当地技术倡导组织Sinar Project的共同创始人Khairil Yusof进行磋商后,Malay Mail就此事向马来西亚计算机紧急响应小组(MyCERT)进行了通报。

MyCERT 在周六中午对Malay Mail出了回应,该系统之后也在同一天被下线。

SAPS是一个考试成绩查询入口,学生或者家长可以通过输入学生的MyKad号码来在线获取学生在校的考试成绩。当然,这些数据也可由地区教育办公室、国家注册部门和教育部检索。


这是一个很好的系统,但是它的后端完全失败,他们存储了数以百万计学生的细节记录,但是他们从不隐藏这些信息。一些非常个人的细节可以未经允许被访问,他们只是忽略了它。这位匿名读者报料说,这个系统从上线第一天起就存在漏洞。

SAPS2011年推出。该读者告诉Malay Mail,这个漏洞是他最近才发现的,发生在教育部更新了SAPS的界面(也可能包括部分代码)之后。

数据泄露的程度

这位匿名读者声称,他可以从服务器上下载超过490万(4,940,203)名学生的数据,因为每一名家长的个人信息都与他们孩子的个人关联在一起,所以可能会有总计超过1030万马来西亚公民受影响。

马来西亚统计部(Department of Statistics Malaysia)在今年第一季度公布的统计数据显示,马来西亚目前共有2870万公民,也就是说数据泄露可能已经影响到了马来西亚公民总数的三分之一以上。

Malay Mail已经确定这位匿名读者从服务器上下载了将近1GB的数据,但尚未能够验证其真实性。该读者目前已经删除了他的数据拷贝,但有可能已经透露给了其他媒体。

接触过部分数据的Rozario表示,尽管受影响的人数比预期的要少,但受影响的数据类型更为广泛。

Rozario 说:这些数据包括学生的MyKad号码以及他们家长的信息。因此,它记录了成人的婚姻状况和配偶信息,以及他们在校孩子的信息。这是一个影响整个家庭的违规行为。

Rozario也指出,这些数据似乎只涉及1995年至2006年出生的孩子,其中包括孩子学校的详细资料、现居地址,甚至是班级和教师的信息。

值得注意的是,这些数据还涉及大约45万名教师,其中包括他们教授的科目以及他们所属的学校。由于受影响教师的范围涵盖19岁至85岁,所以对于退休人员而言也未能幸免。

在匿名读者的报料中,他说SAPS的登录信息是在没有安全HTTPS连接的情况下发送的,导致教师输入的数据可以被很轻易的截获。

他还抱怨登录机制是一个彻头彻尾的笑话,因为密码存储在一个纯文本文档中,没有进行任何加密处理。

他还列出了该加密软件系统的其他几个技术问题,包括未能清理用户输入,这可能导致入侵者将他们自己的代码插入到系统执行的输入字段中。

漏洞利用是一个SQL注入,甚至可以由一个孩子来执行。只需要上一节课,大约5个小时,他们就可以从服务器上获取所有数据库。他说。

(新闻来源于黑客视界)

推荐新闻

浅谈文件加密软件

2020-04-20

浅谈文件加密软件 网络信息技术的迅速发展,对我们日常生活的吃穿住行都带来了很大的便利的...

纽约制造商OXO美国官网用户信息疑泄露

2019-01-16

据Security Week报道,总部位于纽约的制造商OXO International在近日透露,在过去的几年里...

重视管控网络准入!Freepik披露数据泄露事件 影响830万用户

2020-08-27

近日据外媒报道,知名免费图像网站Freepik遭遇一起重大安全漏洞事故,一名黑客或多名黑客利用SQL注入漏洞访问其...

南非再次遭遇数据泄露:100万公民个人信息网上曝光

2018-05-28

2017 年的时候,南非遭遇了一起大规模的数据泄露事故。然而转眼间,这个国家又发生了一起数据泄露,导致 93.4 ...

StockX遭黑客入侵 超680万用户数据被泄露

2019-08-07

根据TechCrunch的消息,数据交易商已经出售超过680万条来自美国潮流服饰与运动鞋交易平台StockX的用户...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部