Los datos de 144,000 estudiantes de todo el mundo que se habían involucrado en los programas educativos administrados por el British Council quedaron peligrosamente expuestos por un socio externo a la Internet pública en un repositorio de Microsoft Azure Blob completamente inseguro, según ha trascendido.
El British Council, un organismo público no departamental patrocinado por la Oficina de Asuntos Exteriores, de la Commonwealth y de Desarrollo, constituye un componente importante del llamado “poder blando” del Reino Unido en todo el mundo, interactuando con millones de personas en más de 100 países con un núcleo misión de promover un mayor conocimiento del idioma inglés y del Reino Unido.
El contenedor contenía varios archivos xml, json y xls/xlsx, que habían sido indexados por un motor de búsqueda público. Incluía nombres completos y direcciones, identificaciones de estudiantes e información relacionada con sus estudios.
Fue descubierto el 5 de diciembre de 2021 por analistas de la firma cibernética de consumo Clario, la firma detrás de la familia de productos MacKeeper, que trabajaban junto con el investigador de seguridad independiente Bob Diachenko.
Ruslana Lishchuk de Clario dijo que la empresa se puso en contacto con el British Council tan pronto como estableció la procedencia y la validez de los datos, pero alegó que la organización inicialmente no respondió. Después de dos días, Clario se comunicó nuevamente a través de mensajes directos en Twitter, donde recibió una respuesta. La base de datos estaba completamente asegurada el 23 de diciembre.
“El British Council se toma muy en serio sus responsabilidades en virtud de la Ley de Protección de Datos de 2018 y el Reglamento General de Protección de Datos. La privacidad y seguridad de la información personal es primordial”, dijo un portavoz del British Council.
“Al enterarnos de este incidente, donde los datos estaban en manos de un proveedor externo, los registros en cuestión se aseguraron de inmediato y continuamos investigando el incidente para garantizar que todas las medidas necesarias estén y permanezcan en orden. lugar.
“Hemos informado el incidente a las autoridades reguladoras correspondientes y cooperaremos plenamente con cualquier investigación o acción adicional requerida”.
Ni el British Council ni Clario revelaron la identidad del proveedor externo, ni las organizaciones dijeron durante cuánto tiempo estuvieron expuestos los datos, o si alguien realmente accedió a ellos o los exfiltró.
Sin embargo, el impacto de la exposición de datos en los estudiantes involucrados podría ser significativo, con consecuencias que incluyen robo de identidad, intentos de fraude y estafas de phishing. En algunos países, el British Council ha llegado a ser considerado como un posible agente extranjero: fue expulsado de Rusia por completo en 2018, supuestamente como parte de una represalia de ojo por ojo después de que el Reino Unido tomara medidas contra Moscú por usar sustancias químicas ilícitas. armas en suelo británico, por lo que la participación en la organización puede, en raras circunstancias, representar un riesgo político para los estudiantes.
También hay consecuencias potenciales para el British Council, que enfrentó críticas el año pasado después de que se supo que había sido víctima de dos ataques de ransomware desde 2016, incluido el daño a la reputación, a pesar de que la exposición de datos se produjo por la inacción de un tercero.
Clario agregó que también es muy posible que los actores maliciosos puedan usar los datos de los estudiantes en campañas de phishing dirigidas al British Council, buscando explotar las vulnerabilidades existentes en su infraestructura de TI.