Виявлено серйозну уразливість на платформі Ravenna Hub, що використовується родинами для подачі заяв та відстеження вступу дітей до навчальних закладів. Через цю помилку безпеки особиста інформація дітей і їхніх батьків була доступна для будь-якого зареєстрованого користувача системи.
Про це розповідає ProIT
Які дані опинилися під загрозою
Серед інформації, яка була у відкритому доступі, опинилися імена дітей, дати народження, домашні адреси, фотографії, відомості про навчальні заклади, а також електронні адреси й номери телефонів батьків, дані про братів і сестер. Це створювало значну загрозу для конфіденційності понад мільйона студентів, які користуються сервісом.
Розробником і адміністратором сайту є компанія VentureEd Solutions зі штату Флорида, яка, за власними даними, обслуговує понад мільйон студентів і опрацьовує сотні тисяч заяв щороку.
Як діяли уразливість і компанія
Причиною проблеми стала поширена помилка безпеки — insecure direct object reference (IDOR). Вона дозволяла змінити унікальний ідентифікатор у веб-адресі профілю студента, тим самим отримуючи доступ до інформації інших користувачів. Оскільки ці номери йшли послідовно, будь-хто міг змінити цифри й переглядати чужі записи.
Усього, як з’ясувалося під час тестування, у системі було понад 1,63 мільйона доступних записів. Компанія VentureEd Solutions оперативно виправила помилку після повідомлення про неї, проте не дала чіткої відповіді щодо інформування користувачів про інцидент і не підтвердила, чи проводила незалежний аудит безпеки.
“Laird said the company was investigating the incident, but he would not commit to notifying users about the security lapse, or say — when asked by TechCrunch — if the company has the ability to check if there was any improper access to other users’ data.”
Залишається невідомо, хто саме відповідає за кібербезпеку в компанії VentureEd Solutions і на платформі Ravenna Hub. Цей випадок — один із низки нещодавніх інцидентів, коли через прості уразливості страждають персональні дані дітей. Наприклад, у січні ще одна освітня онлайн-платформа UStrive також випадково відкрила доступ до особистої інформації своїх користувачів.