Cybernews 研究团队发现，热门大学录取平台 Leverage EDU 泄露了近 24万份敏感文件，包括学生的电话号码、财务信息、证书和考试成绩。

Cybernews指出，泄露问题出自系统配置错误，导致任何人不需要任何身份验证，均可以访问所有大学申请者的个人信息。

在一个名为Amazon S3 的被暴露的数据存储桶中，研究人员发现其中包含大量zip 文件夹，涉及近24万名学生的敏感数据和个人身份信息 (PII)。研究人员还注意到许多个人身份证明文件，包括属于学生及其父母的护照照片。

此外，大量详细的财务信息也被暴露，包括银行对账单、学生贷款文件、贷款共同签署人的身份证明文件和工资单。

Leverage EDU 泄露的确认邮件截图（图片来自 Cybernews）

研究人员警告，如此大规模且信息详细的数据泄露，可以让攻击者以此进行身份盗用和欺诈，比如进行鱼叉式网络钓鱼攻击，精确地瞄准个人，从而使他们的财务和其他账户面临风险。

为遏制此次数据泄露，Cybernews 建议受影响的用户要注意银行账户是否有任何可疑活动。为减轻与网络钓鱼活动相关的风险，用户在接收消息时应谨慎行事，避免点击来历不明的链接，并通过可信来源验证可疑电子邮件中的信息。

此外，受泄露影响的学生应联系负责签发这些文件的政府部门，要求其作废并签发新文件。

Leverage EDU是为出国留学学生提供的一站式录取平台，2022年在全球拥有650 多家教育机构以及多达8000 万的庞大用户群体。自新冠疫情以来，该公司在印度各地开设了分支机构，在英国和澳大利亚也设有办事处。

---

转自 Freebuf，原文链接：https://www.freebuf.com/news/366730.html

封面来源于网络，如有侵权请联系删除