SmarterSelect, une société basée aux États-Unis qui fournit un logiciel pour gérer le processus de demande de bourses, a exposé les données personnelles de milliers de candidats en raison d’un bucket Google Cloud Storage mal configuré.

Le déversement de données, découvert par la société de cybersécurité UpGuard, contenait 1,5 téraoctet de données collectées par un certain nombre de programmes qui offrent un soutien financier aux étudiants. Les données comprenaient des documents tels que des relevés de notes, des curriculum vitae et des factures pour environ 1,2 million de candidatures à des programmes de financement, datés de novembre 2020 au 21 septembre 2021. Le site Web de SmarterSelect indique qu’il a servi 1,6 million de personnes à ce jour.

Un dossier hébergé sur le compartiment public hébergeait 23 000 feuilles de calcul et 8 000 fichiers ZIP, selon l’analyse d’UpGuard. Pour les candidats, ces fichiers contenaient des informations de contact telles que le nom, l’adresse e-mail et le numéro de téléphone, ainsi que des détails beaucoup plus approfondis tels que l’éducation et le revenu de leurs parents, les performances des élèves à l’école et des expériences personnelles comme la vie dans un foyer d’accueil. ou des situations abusives.

Certains fichiers contiennent également des documents plus longs tels que des lettres de recommandation et des essais personnels détaillant la pauvreté, les abus physiques et sexuels, la violence domestique et d’autres informations personnelles, a déclaré UpGuard.

Un autre répertoire, qui contenait quelque 2,79 millions de fichiers, comportait des données encore plus sensibles sur les candidats. Cela inclut les photos des étudiants lorsque cela est requis pour la demande, les documents financiers tels que les formulaires de demande gratuite d’aide fédérale aux étudiants (FAFSA) qui, dans certains cas, comprenaient des numéros de sécurité sociale complets, une preuve de vaccination COVID-19 et des descriptions des difficultés.

UpGuard a d’abord informé SmarterSelect de la violation le 15 septembre, puis de nouveau le 27 septembre. La société a reconnu l’avertissement le 30 septembre, avant de révoquer l’accès public au compartiment le 5 octobre. On ne sait pas si des acteurs malveillants ont accédé aux données alors qu’elles étaient exposé.

« Les contenus…

Voir la source de cette publication