Персональные данные репетиторов и клиентов UpStudy утекли в сеть
Специалисты по информационной безопасности с помощью Device Lock Data Breach Intelligence обнаружили 12 марта в свободном доступе незащищенный Elasticsearch-сервер с информацией, принадлежащей образовательной платформе UpStudy.ru. В открытом доступе находилось 4 индекса:
- Arrangement — 3569 записей;
- Default — 105337 записей;
- Upstudy — 10363 записей;
- Repetitop — 56326 записей.
При этом в индексе UpStudy содержались и данные заказов в объеме более 2500, которые включали в себя персональные данные репетиторов и студентов образовательного портала. Среди переменных:
- ФИО репетитора или студента;
- Описание заказа;
- Стоимость заказа;
- Дата/время;
- Дата рождения;
- Пол;
- Контактный номер телефона;
- Почтовый адрес;
- Email.
Под индексом Default содержались данные 25 тысяч пользователей портала. В данной БД также не обошлось без ПДН. ФИО, почтовые адреса, телефоны, email, даты регистрации также утекли в публичный доступ.
12 марта представители UpStudy были уведомлены об утечки, однако в течение 2 дней никакой реакции не последовало. Данные пропали с незащищенного Elasticsearch лишь 17 марта.