O site de mentoria online UStrive resolveu uma falha de segurança que expunha informações pessoais de usuários, incluindo crianças.
Os dados vazados incluíam nomes de usuários do UStrive, endereços de e-mail, números de telefone e outras informações privadas e fornecidas pelo usuário, e estavam acessíveis a outros usuários logados.
A organização sem fins lucrativos, anteriormente conhecida como Strive for College, oferece instrução on-line para estudantes do ensino médio e universitários por meio de sua plataforma. A organização não informou se planeja notificar os usuários sobre o incidente de segurança.
Na semana passada, alguém que pediu anonimato alertou o TechCrunch sobre uma falha de segurança na plataforma de mentoria do UStrive. Qualquer pessoa pode ver o fluxo de suas informações pessoais nas ferramentas do navegador, inspecionando o tráfego de rede ao fazer login, navegar em seu site, inclusive visualizando seu perfil de usuário.
Segundo a pessoa, o UStrive contava com um endpoint GraphQL vulnerável (um tipo de interface de banco de dados de consulta) hospedado pela Amazon, que permitia acesso a grandes quantidades de dados de usuários armazenados nos servidores do UStrive. Alguns registros de usuários continham mais dados do que outros, como informações fornecidas pelos alunos, como sexo e data de nascimento. A pessoa disse que havia pelo menos 238 mil registros de usuários no momento da descoberta. Enquanto isso, UStrive diz: Página inicial “Mais de 1,1 milhão de estudantes optaram pelo UStrive Mentoring.”
O TechCrunch reconheceu a violação de dados depois de criar uma nova conta de usuário no UStrive e notificou os executivos da empresa por e-mail na quinta-feira.
Em uma carta fornecida ao TechCrunch na quinta-feira, o advogado John D. McIntyre, do escritório de advocacia McIntyre Stein da Virgínia, que representa a UStrive, disse que a UStrive está “atualmente envolvida em um litígio com um de seus ex-engenheiros de software”, o que coloca a “capacidade de resposta um tanto limitada” da empresa.
TechCrunch disse a McIntyre que a empresa ainda tinha falhas de segurança na época que expunham informações privadas e privadas de crianças e pediu a McIntyre que notificasse o TechCrunch se a UStrive planeja corrigir a exposição dos dados e, em caso afirmativo, quando.
O Sr. McIntyre não respondeu às nossas perguntas.
Em resposta à divulgação inicial do TechCrunch, Dwamian Mcleish, diretor de tecnologia da UStrive, disse ao TechCrunch por e-mail na quinta-feira que a exposição havia sido “remediada”.
O TechCrunch enviou a MacLeish um e-mail de acompanhamento com mais perguntas sobre o incidente. Estas incluem se a empresa planeia notificar os utilizadores sobre falhas de segurança, se tem a capacidade de determinar se houve acesso inadequado ou malicioso aos dados dos utilizadores e se a plataforma da empresa foi submetida a auditorias de segurança e, em caso afirmativo, por quem.
O fundador do UStive, Michael J. Carter, não fez comentários para este artigo.
