Um site de admissão de estudantes que as famílias usam para matricular seus filhos nas escolas corrigiu uma falha de segurança que expunha informações pessoais.
Ravenna Hub, um site onde os pais podem se inscrever e acompanhar o status das inscrições de seus filhos em milhares de escolas, permitiu que usuários logados acessassem dados de identificação pessoal associados a outros usuários, incluindo seus filhos.
Os dados vazados incluem nomes de crianças, datas de nascimento, endereços, fotos e detalhes da escola. Os endereços de e-mail e números de telefone dos pais, bem como informações sobre os irmãos da criança, também vazaram.
A VentureEd Solutions, com sede na Flórida, está desenvolvendo e mantendo o hub Ravenna. dizer O site da empresa afirma que atende mais de 1 milhão de estudantes e processa centenas de milhares de inscrições anualmente.
O TechCrunch soube da vulnerabilidade pela primeira vez na quarta-feira e alertou a empresa logo depois. VentureEd corrigiu o bug no mesmo dia, mas o TechCrunch reteve este relatório até confirmar que o bug havia sido corrigido.
Nick Laird, CEO da VentureEd Solutions, disse ao TechCrunch por e-mail que a empresa conseguiu reproduzir o problema e resolver a vulnerabilidade.
Laird disse que a empresa está investigando o incidente, mas não se comprometeria a notificar os usuários sobre a falha de segurança e não diria em resposta às perguntas do TechCrunch se a empresa tinha a capacidade de confirmar se houve acesso não autorizado aos dados de outros usuários. Também perguntamos se as verificações de segurança no Ravenna Hub foram realizadas por terceiros e, em caso afirmativo, por quem. Laird não especificou ou recusou comentários adicionais.
Não está claro quem, se houver alguém, está supervisionando a segurança cibernética do VentureEd e do Ravenna Hub.
Esta vulnerabilidade é conhecida como Insecure Direct Object Reference (IDOR). Falhas de segurança comuns Controles de segurança fracos ou inexistentes nos servidores associados permitem que os usuários acessem as informações armazenadas.
Na realidade, esse bug poderia ter permitido que um usuário logado acessasse o arquivo de inscrição de outro aluno contendo informações pessoais, usando a barra de endereços do navegador da Web para alterar o número exclusivo associado ao perfil do aluno.
Para Ravenna Hub, os números de alunos são consecutivos. Isso significava que qualquer usuário poderia acessar os dados de outro aluno alterando um ou mais dígitos em seu número de perfil.
Quando o TechCrunch criou uma nova conta usando dados de teste, descobrimos que o endereço da web continha sete dígitos. Portanto, antes do nosso cadastro, havia pouco mais de 1,63 milhão de registros disponíveis para outros usuários.
Esta é a mais recente violação de segurança envolvendo uma simples falha de segurança que afeta as informações pessoais das crianças. Em janeiro, Site de mentoria online UStrive expõe informações pessoais dos usuáriosmuitos dos quais ainda frequentam a escola.
