Securitate compromisă: datele personale ale utilizatorilor, inclusiv ale copiilor, sunt în pericol
Site-ul de mentorat online UStrive a remediat o breșă de securitate care a expus informațiile personale ale utilizatorilor, inclusiv ale copiilor. Datele expuse includeau numele complete, adresele de email, numerele de telefon și alte informații confidențiale furnizate de utilizatori, accesibile oricărui utilizator logat pe platformă.
Informații despre breșa de securitate
UStrive, cunoscut anterior ca Strive for College, oferă mentorat online pentru studenții de liceu și colegiu. Organizația nu a precizat dacă intenționează să informeze utilizatorii despre incidentul de securitate.
O persoană, care a dorit să rămână anonimă, a alertat TechCrunch despre această breșă de securitate săptămâna trecută. Aceasta a descoperit că, prin examinarea traficului de rețea în timp ce era conectată și naviga pe site, putea vizualiza fluxuri de informații personale ale utilizatorilor în instrumentele de browser. Breșa era cauzată de un endpoint GraphQL vulnerabil, găzduit pe Amazon, care permitea accesul la volume mari de date ale utilizatorilor stocate pe serverele UStrive. La momentul descoperirii, erau disponibile cel puțin 238.000 de înregistrări de utilizatori.
Confirmarea expunerii datelor
TechCrunch a confirmat expunerea datelor după crearea unui nou cont pe UStrive și a notificat conducerea companiei prin email. John D. McIntyre, avocat la firma de avocatură McIntyre Stein, care reprezintă UStrive, a menționat că organizația se află în litigiu cu unul dintre foștii săi ingineri software, ceea ce limitează capacitatea companiei de a răspunde.
TechCrunch a solicitat informații suplimentare despre incident, inclusiv dacă compania intenționează să notifice utilizatorii despre breșa de securitate și dacă are capacitatea de a verifica accesul necorespunzător sau malițios la datele utilizatorilor. McIntyre nu a răspuns la aceste întrebări.
Remedierea breșei
În răspunsul său, CTO-ul UStrive, Dwamian Mcleish, a declarat că expunerea a fost “remediată”. Cu toate acestea, nu s-au oferit detalii suplimentare despre audituri de securitate sau măsurile luate pentru a preveni astfel de incidente în viitor.
Concluzie
Incidentul de la UStrive evidențiază vulnerabilitățile în securitatea datelor personale ale utilizatorilor, în special ale copiilor, și subliniază importanța protecției informațiilor sensibile în platformele de mentorat online.



