Un defect pe site-ul de înscriere a studenților a compromis datele personale ale copiilor

Alin
ModeratorAlin
2 Min Citire
Un defect pe site-ul de înscriere a studenților a compromis datele personale ale copiilor

Defect pe site-ul de înscriere a studenților

Un site de înscriere a studenților, Ravenna Hub, utilizat de familii pentru a înregistra copii în școli, a fost compromis din cauza unei lacune de securitate care a expus informațiile personale ale utilizatorilor. Aceasta a permis oricărui utilizator autentificat să acceseze datele personale ale altor utilizatori, inclusiv ale copiilor acestora.

Informațiile expuse

Datele expuse includ numele copiilor, datele de naștere, adresele, fotografiile și detalii despre școlile la care sunt înscriși. De asemenea, au fost divulgate adresele de email și numerele de telefon ale părinților, precum și informații despre frații copiilor.

Despre Ravenna Hub

VentureEd Solutions, compania din Florida care dezvoltă și întreține Ravenna Hub, afirmă că serviciul său deservește peste un milion de studenți și procesează sute de mii de aplicații anual. Lacuna de securitate a fost semnalată de TechCrunch, care a alertat compania, iar aceasta a remediat problema în aceeași zi.

Investigația incidentului

Nick Laird, directorul executiv al VentureEd Solutions, a confirmat că firma a reușit să reproducă problema și a abordat vulnerabilitatea. Deși compania investighează incidentul, Laird nu a oferit detalii despre notificarea utilizatorilor sau despre capacitatea de a verifica accesul necorespunzător la datele altor utilizatori.

Tipul vulnerabilității

Vulnerabilitatea este cunoscută sub numele de referință directă nesigură a obiectelor (IDOR), o slăbiciune comună care permite utilizatorilor să acceseze informații stocate din cauza controlului de securitate slab sau inexistent pe serverele vizate. În cazul Ravenna Hub, numerele studenților sunt secvențiale, ceea ce permite oricărui utilizator să acceseze datele altui student prin modificarea numărului de profil în bara de adrese a browserului.

Accesibilitatea datelor

TechCrunch a creat un cont nou cu date de testare și a constatat că adresa web conținea un număr de șapte cifre, ceea ce înseamnă că erau accesibile peste 1,63 milioane de înregistrări înainte de contul testat.

Contextul securității online

Acesta este cel mai recent incident de securitate legat de slăbiciuni simple care afectează informațiile personale ale copiilor. În ianuarie, site-ul de mentorat online UStrive a expus informațiile personale ale utilizatorilor săi, mulți dintre aceștia fiind încă elevi.

Acest incident subliniază importanța securității cibernetice în gestionarea datelor personale, mai ales în cazul copiilor, și necesitatea unor măsuri stricte de protecție a informațiilor sensibile.

Distribuie acest articol