新闻快讯
< >

美助学金申请网站FAFSA数据泄露:数据太多太具体

E安全11月29日讯 美国教育部旗下的联邦学生援助免费申请(简称FAFSA)网站正默默地泄露敏感个人信息,数百万条信息极易受到黑客及身份盗贼的入侵。

敏感数据库可以被轻易访问

欲寻求财务援助的学生需要在该网站填写个人、财务信息登记表。安全专家Brian Krebs(布莱恩·克雷布斯)表示,任何持有申请人社保号码(简称SSN)与出生日期的人士都能访问该敏感数据库。

美助学金申请网站FAFSA数据泄露:数据太多太具体-E安全

该FAFSA登录页面的人士能够选择输入学生的FSA ID与密码,或直接填写“学生信息”。用户可选择第二种选项以输入学生的名与姓、出生日期以及社保号码。Krebs表示,“任何成功通过FAFSA完成财务援助申请的学生的个人资料,都可以通过提供这些信息进行查看。”

最彻底的一次数据泄露

这部分信息包含细节个人信息以及家庭财务状况(包含近200种不同数据元素):学生与家长的个人信息,例如长期居住地址、驾驶证号码、电话号码、公民身份与外国人登记号码、婚姻状况、学生是否因涉毒存在犯罪记录、所得税、调整后总收入、净资产、子女抚养费、退伍军人身份、学生是否属于脱离家长独立生活的未成年人等等。

这可能是迄今为止泄露的数据信息最全面的一次,其中唯一缺少的常见问题可能只剩下‘你养的第一只宠物叫什么名字?‘这类内容

。掌握这类数据身份信息的窃贼很可能以冒名顶替的方式向联邦政府申请经济援助,可能给学生(或学生家长)带来大麻烦。”

根据教育部提供的数据,仅2015/2016年申请有效时间内就有接近2000万人填写了FAFSA表格。

美助学金申请网站FAFSA数据泄露:数据太多太具体-E安全

而在互联网或者暗网上,只需要价值4美元到5美元的比特币即可获得数百万美国民众的社保号码与出生日期信息。

今年3月,美国国税局(简称IRS)官网发布消息,禁用了一项名为数据检索工具的自动化工具,其原本用于帮助学生及其家属申请联邦财政援助。恶意人士一直在利用这款工具从FAFSA当中检索数据,从而了解申请人家庭的调整后总收入以及其它细节信息,进而面向国税机构实施退税欺诈。

Krebs表示,网站在管理此类敏感消费者数据时通常都是提供静态数据点,这也是众多敏感数据易泄露的原因之一。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。