Esta violación se produjo cuando GetSchooled (getschooled.com), una organización benéfica fundada por la Fundación Bill y Melinda Gates en colaboración con Viacom, dejó una base de datos abierta y accesible para cualquier persona con un navegador y conexión a Internet.
Según TurgenSec: La infracción afecta a 930.000 personas, compuestas por niños (de 10 a 16 años), algunos adultos jóvenes y algunos estudiantes universitarios.
La información violada contiene amplios detalles personales de niños, adolescentes y adultos jóvenes, que incluyen: direcciones completas, escuelas, PII completa del estudiante, incluidos los números de teléfono y correos electrónicos de los estudiantes, detalles de graduación, edades, géneros y más ...
TurgenSec (turgensec.com) informó responsablemente la infracción a GetSchooled el 18 de noviembre de 2020 y GetSchooled cerró la infracción el 21 de diciembre, más de un mes después.
GetSchooled
La Fundación Get Schooled es una organización nacional sin fines de lucro que ayuda a los jóvenes a prosperar en la escuela secundaria, la universidad, caminos alternativos y trabajos profesionales iniciales, a través de una combinación única de contenido digital atractivo, gamificación y apoyo y participación personalizados.
Divulgación responsable
Según TurgenSec: se comunicó con GetSchooled el 18 de noviembre, llamándolos y enviándoles correos electrónicos varias veces durante el período de un mes. No obtuvimos una respuesta directamente de GetSchooled y, finalmente, pasamos a comunicarnos con el NCSC, Viacom y la Fundación Bill y Melinda Gates. Nos pusimos en contacto tanto con Viacom como con la Fundación Bill y Melinda Gates, quienes nos informaron que habían pasado información a GetSchooled. Tras esta escalada, se cerró la brecha.
Respuesta de GetSchooled
Según el Financial Times: Get Schooled disputó el tamaño de la violación y dijo que creía que unas 250.000 cuentas quedaron expuestas. Dijo que menos de un tercio de esas cuentas, alrededor de 75.000, estaban vinculadas a direcciones de correo electrónico que permanecen activas. Estimó que se podría haber accedido a unos 20.000 números de teléfono y 12.000 direcciones postales, pero dijo que no se incluyeron fechas de nacimiento ni detalles financieros en la base de datos.