Обнаружена серьезная уязвимость на платформе Ravenna Hub, используемой семьями для подачи заявлений и отслеживания поступления детей в учебные заведения. Из-за этой ошибки безопасности личная информация детей и их родителей была доступна для любого зарегистрированного пользователя системы.
Об этом сообщает ProIT
Какие данные оказались под угрозой
Среди информации, которая была в открытом доступе, оказались имена детей, даты рождения, домашние адреса, фотографии, сведения о учебных заведениях, а также электронные адреса и номера телефонов родителей, данные о братьях и сестрах. Это создавало значительную угрозу для конфиденциальности более миллиона студентов, которые пользуются сервисом.
Разработчиком и администратором сайта является компания VentureEd Solutions из штата Флорида, которая, по собственным данным, обслуживает более миллиона студентов и обрабатывает сотни тысяч заявлений каждый год.
Как действовали уязвимость и компания
Причиной проблемы стала распространенная ошибка безопасности — insecure direct object reference (IDOR). Она позволяла изменить уникальный идентификатор в веб-адресе профиля студента, тем самым получая доступ к информации других пользователей. Поскольку эти номера шли последовательно, любой мог изменить цифры и просматривать чужие записи.
Всего, как выяснилось во время тестирования, в системе было более 1,63 миллиона доступных записей. Компания VentureEd Solutions оперативно исправила ошибку после сообщения о ней, однако не дала четкого ответа относительно информирования пользователей о инциденте и не подтвердила, проводила ли независимый аудит безопасности.
«Laird сказал, что компания расследует инцидент, но он не стал бы обещать уведомить пользователей о нарушении безопасности или сказать — когда его спросили TechCrunch — есть ли у компании возможность проверить, был ли какой-либо неправомерный доступ к данным других пользователей.»
Остается неизвестным, кто именно отвечает за кибербезопасность в компании VentureEd Solutions и на платформе Ravenna Hub. Этот случай — один из ряда недавних инцидентов, когда из-за простых уязвимостей страдают персональные данные детей. Например, в январе еще одна образовательная онлайн-платформа UStrive также случайно открыла доступ к личной информации своих пользователей.