与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

数据泄露影响超过1000万公民 马来西亚教育部SAPS系统紧急下线

发布时间:2018-06-11 来源: 浏览次数:8602次


据马来西亚媒体Malay Mail报道,在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后,由马来西亚教育部推出的学校考试分析系统(Sitem Analisis Peperiksaan SekolahSAPS)被迫紧急下线。

报道指出,一位要求匿名的读者在上周五晚向Malay Mail爆料称,教育部此前无视他的警告,迫使他不得不向媒体寻求帮助。

在与技术博客博主Keith Rozario(广泛涉及数据泄露)以及当地技术倡导组织Sinar Project的共同创始人Khairil Yusof进行磋商后,Malay Mail就此事向马来西亚计算机紧急响应小组(MyCERT)进行了通报。

MyCERT 在周六中午对Malay Mail出了回应,该系统之后也在同一天被下线。

SAPS是一个考试成绩查询入口,学生或者家长可以通过输入学生的MyKad号码来在线获取学生在校的考试成绩。当然,这些数据也可由地区教育办公室、国家注册部门和教育部检索。


这是一个很好的系统,但是它的后端完全失败,他们存储了数以百万计学生的细节记录,但是他们从不隐藏这些信息。一些非常个人的细节可以未经允许被访问,他们只是忽略了它。这位匿名读者报料说,这个系统从上线第一天起就存在漏洞。

SAPS2011年推出。该读者告诉Malay Mail,这个漏洞是他最近才发现的,发生在教育部更新了SAPS的界面(也可能包括部分代码)之后。

数据泄露的程度

这位匿名读者声称,他可以从服务器上下载超过490万(4,940,203)名学生的数据,因为每一名家长的个人信息都与他们孩子的个人关联在一起,所以可能会有总计超过1030万马来西亚公民受影响。

马来西亚统计部(Department of Statistics Malaysia)在今年第一季度公布的统计数据显示,马来西亚目前共有2870万公民,也就是说数据泄露可能已经影响到了马来西亚公民总数的三分之一以上。

Malay Mail已经确定这位匿名读者从服务器上下载了将近1GB的数据,但尚未能够验证其真实性。该读者目前已经删除了他的数据拷贝,但有可能已经透露给了其他媒体。

接触过部分数据的Rozario表示,尽管受影响的人数比预期的要少,但受影响的数据类型更为广泛。

Rozario 说:这些数据包括学生的MyKad号码以及他们家长的信息。因此,它记录了成人的婚姻状况和配偶信息,以及他们在校孩子的信息。这是一个影响整个家庭的违规行为。

Rozario也指出,这些数据似乎只涉及1995年至2006年出生的孩子,其中包括孩子学校的详细资料、现居地址,甚至是班级和教师的信息。

值得注意的是,这些数据还涉及大约45万名教师,其中包括他们教授的科目以及他们所属的学校。由于受影响教师的范围涵盖19岁至85岁,所以对于退休人员而言也未能幸免。

在匿名读者的报料中,他说SAPS的登录信息是在没有安全HTTPS连接的情况下发送的,导致教师输入的数据可以被很轻易的截获。

他还抱怨登录机制是一个彻头彻尾的笑话,因为密码存储在一个纯文本文档中,没有进行任何加密处理。

他还列出了该加密软件系统的其他几个技术问题,包括未能清理用户输入,这可能导致入侵者将他们自己的代码插入到系统执行的输入字段中。

漏洞利用是一个SQL注入,甚至可以由一个孩子来执行。只需要上一节课,大约5个小时,他们就可以从服务器上获取所有数据库。他说。

(新闻来源于黑客视界)

推荐新闻

快讯丨惠普企业打印机被曝含多种安全漏洞

2017-11-28

近期,研究人员在某些型号的惠普企业打印机中发现了多个严重的安全漏洞(包括远程代码执行漏洞),厂商表示已经在着手开发...

760万“塞勒姆小镇”玩家个人信息惨遭泄露

2019-01-08

据外媒ZDNet报道,BlankMediaGames(BMG)公司在本周二发布的一篇帖子中承认,一名黑客已经成功窃...

美票务巨头Ticketfly遭黑客勒索比特币 用户数据泄露

2018-06-04

美国票务巨头Ticketfly遭遇黑客攻击勒索,出现了严重的数据泄露,损害了其中一些客户的个人信息。截至目前,公司...

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

2018-06-27

Necurs 是全球最大的垃圾邮件僵尸网络,由数百万受感染的计算机组成,曾用于扩散 Locky、Gl...

苹果网站漏洞曝光7200万iphone用户PIN码

2018-09-07

据外媒报道,新闻聚合网站BuzzFeed发布的一份最新报告称,苹果网站和手机保险公司Asuri...

Copyright ©2006-2021 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部