Хакер под псевдонимом Parasocial получил доступ к информации через взломанный аккаунт сотрудника. В результате утечки были раскрыты имена, адреса электронной почты, номера телефонов и домашние адреса пользователей из США. Инцидент затронул данные родителей, учителей и администраторов. Злоумышленник заявил, что использовал вредоносное ПО для доступа к порталу сотрудников Scholastic и действовал лишь из скуки, не намереваясь размещать данные в открытом доступе, однако подверг критике систему безопасности компании.
«К сожалению, защитой серверов веб-приложений занимаются выпускники не Хогвартса и даже не Дурмстранга. Это обычные инженеры, и никакие заклинания и обереги не помогут им защитить персональные данные от взлома. Утечка данных издателя Scholastic содержит весьма чувствительные данные, и произошла она, судя по всему, из-за недостаточного контроля доступа к СУБД. Или, по крайней мере, само веб-приложение имеет весьма ограниченный доступ к данным. В первом случае проблемы, вероятно, удалось бы избежать при использовании СУБД, в которой подобные механизмы включены по умолчанию. Например, такой, как Jatoba. Альтернативой этому может служить регулярное тестирование систем ИБ, которое, скорее всего, в случае с Scholastic тоже не проводилось на регулярной основе», — отметил Сергей Полунин.
