La información personal de cientos de estudiantes del British Council fue recientemente expuesta en línea debido a un repositorio de almacenamiento desprotegido. British Council es una institución educativa líder a nivel mundial, con presencia en 100 países y que se conecta con más de 80 millones de personas en total.
A finales de 2021, el reconocido especialista en ciberseguridad Bob Diachenko descubrió un repositorio de blobs de Microsoft Azure abierto y sin medida de seguridad alguna que almacenaba más de 140,000 archivos en múltiples formatos (xml, json y xls/xlsx) con información personal y detalles de inicio de sesión pertenecientes a estudiantes del British Council.
Al parecer, este contenedor fue indexado por un motor de búsqueda público, pero no está claro por cuánto tiempo permanecieron expuestos. Diachenko, en colaboración con la firma de seguridad MacKeeper contactó al British Council inmediatamente después de confirmar la legitimidad de la filtración.
El acceso al contenedor fue revocado el 23 de diciembre, unas dos semanas después del hallazgo. Entre los datos que podrían haber sido accedidos por actores de amenazas destacan miles de registros de estudiantes, incluyendo nombres completos, direcciones email, fotografías de identificaciones, fechas de inscripción e historiales académicos.
Al respecto, el British Council ya ha reconocido el incidente, aunque asegura que el número de alumnos afectados es cercano a los 10,000, mientras que Diachenko calculaba que la filtración podría haber afectado a cientos de miles de personas: “Al recibir el reporte, nuestro proveedor de servicios inmediatamente aseguró los registros con los controles apropiados y los datos en cuestión ya no fueron accesibles”, agrega la institución.
British Council recomendó a sus alumnos acceder a sus cuentas en las plataformas académicas y restablecer sus contraseñas a fin de evitar un potencial uso malicioso de la información comprometida. Los expertos también recomiendan a los afectados mantenerse al tanto de cualquier actividad sospechosa en sus plataformas de redes sociales y direcciones email.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.