Une violation de données par un tiers a révélé au moins 10 000 enregistrements détenus par le British Council, une organisation du secteur public qui propose des cours d’anglais dans le monde entier.
L’incident de sécurité a été signalé le 5 décembre 2021 par des chercheurs de Clario lorsqu’ils ont découvert un référentiel de blob Microsoft Azure ouvert et non protégé.
Un conteneur blob a été indexé par un moteur de recherche public, a déclaré Clario, qui, selon eux, contenait plus de 144 000 fichiers xml, json et xls/xlsx.
Ces ensembles de données contenaient des données personnelles appartenant à des étudiants du monde entier, notamment des noms complets, des adresses e-mail, des numéros d’étudiant, des dates d’inscription et des durées d’études.
« On ne sait pas pendant combien de temps ces données ont été disponibles en ligne en public, sans authentification en place », a déclaré Clario dans un article de blog sur son site Web Mackeeper.
À risque
Les chercheurs ont contacté le British Council le 5 décembre, puis le 23 décembre, l’institution a confirmé ce qu’ils avaient trouvé.
Les chercheurs de Clario ont déclaré que le référentiel « les détails personnels et de connexion des étudiants du British Council, les mettant potentiellement en danger, eux et leurs informations personnelles ».
Dans un courriel à La gorgée quotidienneun porte-parole du British Council a déclaré que 10 000 enregistrements étaient « accessibles d’une manière qui n’aurait pas dû se produire ».
TU PEUX AIMER La Croix-Rouge subit une cyberattaque – les données de 515 000 personnes « très vulnérables » exposées
Le porte-parole a déclaré: «Les données en question ont été détenues et traitées par un fournisseur de services tiers. Environ 10 000 enregistrements étaient accessibles d’une manière qui n’aurait pas dû se produire.
« Après avoir pris connaissance de cela, notre fournisseur de services tiers a immédiatement sécurisé les enregistrements avec des contrôles appropriés et les données en question ont été rendues inaccessibles.
« Nous travaillons avec le fournisseur pour nous assurer que des incidents similaires ne se reproduisent pas à l’avenir.
« Nous avons signalé l’incident conformément à nos obligations réglementaires et nous restons en contact avec le Bureau du Commissaire à l’information si d’autres mesures sont nécessaires.
« Le British Council prend très au sérieux ses responsabilités en vertu de la loi sur la protection des données de 2018 et du règlement général sur la protection des données (RGPD). La confidentialité et la sécurité des informations personnelles sont primordiales.
La gorgée quotidienne a contacté le British Council pour clarifier si les 10 000 enregistrements contenaient 144 000 fichiers, ou s’il conteste les conclusions de Clario.
Prochaines étapes
Le British Council, qui a été fondé par le gouvernement britannique en 1934, promeut les relations culturelles et les opportunités éducatives à l’étranger.
Clario a conseillé à toute personne susceptible d’avoir été concernée de changer immédiatement son mot de passe et d’être à l’affût des e-mails ou des liens suspects.
Le billet de blog a ajouté : « Suivez votre instinct. Cet e-mail ou ce site Web semble-t-il douteux ? Avez-vous soudainement reçu une publicité vous demandant de rejoindre une promo ? Restez en état d’alerte après une violation de données pour vous assurer de ne pas être victime d’une escroquerie.
