Edulog家长门户平台存在API漏洞，导致600万K-12学生信息泄露

关键要点

据研究人员报道，Edulog家长门户平台（为K-12学生家长提供实时校车跟踪服务）中的应用程序编程接口（API）漏洞使不法分子可以访问超过600万名学生的姓名和地理位置数据。Edulog已经解决了这一安全隐患。

根据Edulog的母公司的说法：“每天有超过600万名学生被运送，使用超过85,000辆由Edulog软件调度的校车。”

此漏洞允许任何创建免费Edulog帐户的人绕过学校注册保护，从而获得对家长门户API的“不受限制的访问”。Tenable的研究人员称，这些信息包括学生姓名、他们所分配校车的GPS位置以及家长的联系信息。

此外，漏洞还使得用户可以访问平台配置详细信息，比如“个别学区的用户名和加密密码”，Tenable表示。

Tenable于2023年9月13日向Edulog报告了这些暴露的数据，而Edulog表示截至2023年11月30日，所有报告的问题均已解决。并没有迹象表明在修复之前已滥用这些泄露的数据。

使用Edulog软件的学校为家长提供通过Edulog家长门户或Edulog家长门户Lite移动应用访问班车路线信息。一般情况下，家长注册一个免费的Edulog帐户，并从其学区获得一个注册代码，以访问班车路线信息。

Tenable的研究人员发现，创建免费帐户并手动向家长门户API端点提交请求后，能够在未完成学校注册的情况下，获取家长、学生和班车的信息。唯一的访问控制措施是通过应用程序实施的客户端限制。

“通过代理这些应用的流量，[研究人员]能够获得该测试用户的授权令牌，并开始手动查询API端点，”Tenable在其中指出。

Tenable表示，Edulog并没有说明是否计划发布自身的安全顾问，截至周三，其网站上似乎还没有发布相关的安全顾问。根据该公司的，”Edulog的云环境得到了AWS的安全措施支持”，且其应用程序使用“基于角色的帐户访问工作流”。

Tenable指出，这类API问题在“数据安全与合规标准混淆的行业中并不罕见”
。

“实际上，通过家长门户API可能获得的许多信息，如姓名和地址，可能已经被视为开放数据，并符合监管要求，”Tenable在引用时表示。