El British Council, uno de los organismos más conocidos en la promoción del estudio de la cultura británica y el idioma inglés, ha sufrido una importante filtración de datos personales que ha dejado expuestos más de 144.00 archivos con registros de estudiantes.
Así lo ha señalado la firma de ciberseguridad Clario, junto con el investigador de seguridad Bob Diachenko, quienes descubrieron el problema en primera instancia.
Con presencia en más de un centenar de países, el British Council es una organización sin fines de lucro que genera la mayoría de sus ingresos de actividades como la enseñanza, los exámenes, los contratos licitados y las asociaciones. Se encarga también del examen IELTS, uno de las pruebas estandarizadas de la lengua inglés más reconocidas en todo el mundo.
Según los investigadores, un motor de búsqueda público indexó un contenedor de blobs de Azure sin protección que contenía miles de hojas de cálculo de Excel y archivos XML/JSON, que cualquiera podía ver.
Estos archivos incluían la información personal de cientos de miles de estudiantes de cursos de inglés del British Council de todo el mundo. En concreto, los datos filtrados incluirían su nombre completo, dirección de email, ID de cada alumno, estado, fecha de inscripción, duración del curso y notas.
Se desconoce exactamente cuánto tiempo habrían estado todos estos datos disponibles online para que cualquiera accediera a ellos sin autenticación.
El agujero de seguridad fue descubierto el pasado 5 de diciembre y los investigadores se lo notificaron de inmediato a la organización de enseñanza del inglés. Tras no recibir respuesta de ningún tipo en 48 horas, volvieron a ponerse en contacto con el British Council, en esta ocasión a través de Twitter.
Dos semanas después del contacto inicial, el 23 de diciembre, se anunció la confirmación de seguridad del repositorio.
Pese a que los investigadores encontraron una cifra de archivos expuestos bastante alta, desde el British Council solo han reconocido la afectación a 10.000 registros.
"Los datos en cuestión fueron retenidos y procesados por un proveedor de servicios externo. Aproximadamente 10.000 registros estuvieron accesibles de una manera que no debería haber ocurrido. Al darse cuenta de esto, nuestro proveedor de servicios externo inmediatamente aseguró los registros con los controles apropiados y ya no se pudo acceder a los datos en cuestión. Estamos trabajando con el proveedor para garantizar que no ocurran incidentes similares en el futuro" ha explicado un portavoz de la casa a Bleeping Computer.
"El British Council se toma muy en serio sus responsabilidades en virtud de la Ley de protección de datos de 2018 y el Reglamento general de protección de datos (GDPR). La privacidad y seguridad de la información personal es primordial", ha añadido.
Después del ransomware no llega la calma
Este problema de seguridad sigue a un informe reciente en el que se indica que la escuela ha sido víctima de dos ataques de ransomware exitosos en los últimos dos años.
En el primero el British Council habría sufrido cinco días de inactividad y en el segundo siete días, supuestamente. No obstante, parece que en ninguno de los dos pagó por el rescate.
Clario aconseja a los estudiantes y ex estudiantes que estén atentos a posibles correos de phishing que reciban y que cambien sus contraseñas de inicio de sesión para evitar males mayores.