Paume faciale : McGraw Hill est l’un des «trois grands» éditeurs éducatifs américains, avec une entreprise technologique en pleine croissance qui vend des services pour héberger et animer des cours en ligne. Comme vpnMentor l’a découvert, cependant, McGraw Hill n’a pas reçu la note de passage en matière de sécurité et de pratiques d’opsec décentes.
Les chercheurs de vpnMentor ont trouvé deux compartiments Amazon Web Services (AWS) S3 remplis de données personnelles et sensibles, confirmant plus tard qu’il s’agissait de fichiers appartenant à la plate-forme éducative en ligne de McGraw Hill. Les buckets contenaient plus de 22 téraoctets de données, avec plus de 117 millions de fichiers accessibles au public pour quiconque savait où chercher.
Chercheurs vpnMentor m’a dit ils ont vérifié un « échantillon limité » pour confirmer que la violation de données était légitime, et ils ont vu que les dossiers en ligne contenaient des informations très sensibles telles que les noms des étudiants, les adresses e-mail, les rapports de performance et les notes. Les deux seaux contenaient également les programmes des enseignants et le matériel de lecture des cours, et même des éléments très sensibles appartenant à McGraw Hill lui-même, notamment des clés numériques privées et du code source.
Tout bien considéré, vpnMentor estime que les deux compartiments S3 non protégés – l’un avec 12 To de données, l’autre avec 10 To – divulguaient des informations sur plus de 100 000 étudiants d’écoles et d’universités américaines et canadiennes. Comme l’estimation est basée sur l’échantillon limité analysé par les chercheurs, l’ampleur réelle de la violation de données pourrait être beaucoup, beaucoup plus grande.
Le pire aspect de l’incident est peut-être la façon dont McGraw Hill et les responsables de la sécurité ont réagi aux tentatives de communication de vpnMentor.
Les chercheurs ont découvert les seaux S3 accessibles au public le 12 juin 2022 et ils ont tenté de contacter l’entreprise le lendemain. Il y a eu d’autres tentatives de contact dans les semaines suivantes, et les chercheurs ont également tenté de joindre des responsables de l’US-CERT et d’Amazon.
La première réponse de McGraw Hill est arrivée le 9 juillet 2022, près d’un mois après le premier message, mais il a fallu encore 10 jours pour obtenir des résultats.
Selon le directeur principal de la cybersécurité de McGraw Hill, les fichiers sensibles ont été retirés des seaux publics le 20 juillet 2022, près de deux mois après la découverte de l’incident. vpnMentor en a été informé le 21 septembre.
Les analystes de vpnMentor ont également déclaré qu’ils n’étaient pas en mesure de déterminer si un acteur malveillant avait trouvé les compartiments non sécurisés avant que McGraw Hill ne supprime les fichiers sensibles. Considérant que les fichiers auraient pu être consultés dès 2015, et que les compartiments S3 ouverts sont un problème de sécurité très connu dans l’industrie, il y a très peu de doute sur une militarisation potentielle des données compromises contre les étudiants, les enseignants, les établissements d’enseignement et McGraw Hill lui-même.