Vulnerabilitate majoră în platforma de admitere școlară expune date personale
Ravenna Hub a remediat rapid o problemă de securitate ce expunea datele copiilor
Un bug de securitate pe platforma Ravenna Hub a expus date personale ale copiilor. VenturEd Solutions a remediat rapid problema.
Puncte Cheie
- Bug de securitate pe site-ul Ravenna Hub expunea date personale ale copiilor
- Datele expuse includeau nume, adrese, date de naștere și fotografii
- VenturEd Solutions, dezvoltatorul platformei, a remediat problema în aceeași zi
- Nick Laird, CEO al VenturEd, a confirmat replicarea și rezolvarea problemei
- Vulnerabilitatea era de tip IDOR, permițând accesul la date prin modificarea URL-ului
Vulnerabilitatea în Platforma de Admitere Ravenna Hub
Un bug de securitate descoperit pe platforma de admitere școlară Ravenna Hub a expus date personale ale copiilor, inclusiv nume, date de naștere, adrese și fotografii. Platforma, utilizată de familii pentru a înscrie copiii în școli, permitea oricărui utilizator autentificat să acceseze datele personale ale altor utilizatori, inclusiv informații despre copii.
Informațiile expuse nu se limitau doar la datele copiilor, ci includeau și adresele de email și numerele de telefon ale părinților, precum și detalii despre frații copiilor. VenturEd Solutions, compania din Florida care dezvoltă și întreține Ravenna Hub, a declarat că platforma deservește peste un milion de studenți și procesează sute de mii de aplicații anual.
Reacția și Măsurile Luate de VenturEd Solutions
Vulnerabilitatea a fost raportată de surse de încredere miercuri, iar VenturEd Solutions a acționat rapid pentru a remedia problema în aceeași zi. Nick Laird, CEO al companiei, a confirmat printr-un email că problema a fost replicată și rezolvată. Cu toate acestea, Laird nu a oferit detalii despre notificarea utilizatorilor cu privire la breșa de securitate sau despre capacitatea companiei de a verifica accesul neautorizat la datele altor utilizatori.
Nu este clar cine se ocupă de securitatea cibernetică la VenturEd și Ravenna Hub. Vulnerabilitatea identificată este cunoscută sub numele de referință directă nesigură a obiectelor (IDOR), o deficiență comună de securitate care permite utilizatorilor să acceseze informații stocate din cauza controlului de securitate slab sau inexistent pe serverele implicate.
Detalii Tehnice ale Vulnerabilității
În practică, bug-ul permitea oricărui utilizator autentificat să acceseze datele altui student prin modificarea numărului unic asociat profilului unui student, utilizând bara de adrese a browserului. În cazul Ravenna Hub, numerele de identificare ale studenților erau secvențiale, ceea ce însemna că un utilizator putea accesa datele altui student prin schimbarea numărului de profil cu una sau mai multe cifre.
La crearea unui cont nou cu date de test, s-a constatat că adresa web conținea un număr de șapte cifre, ceea ce însemna că existau puțin peste 1,63 milioane de înregistrări accesibile anterior oricărui alt utilizator. Aceasta este cea mai recentă problemă de securitate care implică deficiențe simple de securitate ce afectează informațiile personale ale copiilor. În ianuarie, un alt site de mentorat online a expus informațiile personale ale utilizatorilor săi, mulți dintre aceștia fiind încă la școală.
Abonează-te la StiriX
Primește cele mai noi știri tech direct pe email.