Утечка в системе безопасности UStrive привела к раскрытию персональных данных пользователей, включая детей

ustrive,утечка данных,безопасность,graphql,наставничество

Сайт онлайн-наставничества UStrive допустил утечку личных данных, включая адреса электронной почты и номера телефонов, к другим авторизованным пользователям. Некоммерческая организация сообщила TechCrunch об устранении проблемы, но отказалась комментировать оповещение пострадавших.

Утекшие данные включали полные имена, адреса электронной почты, номера телефонов и другую непубличную информацию, предоставленную пользователями UStrive, которая была доступна любому другому авторизованному пользователю.

Некоммерческая организация, ранее известная как Strive for College, предоставляет онлайн-наставничество старшеклассникам и студентам колледжей через свою платформу. Организация не сообщила, планирует ли она информировать пользователей об инциденте безопасности.

На прошлой неделе неназванный источник сообщил изданию TechCrunch об уязвимости в системе безопасности на платформе наставничества UStrive. Изучая сетевой трафик во время входа в систему и перемещения по сайту — например, просматривая профили пользователей — любой мог увидеть потоки личной информации пользователей в инструментах своего браузера.

Источник сообщил, что UStrive использовала уязвимую конечную точку GraphQL, размещенную на серверах Amazon — тип интерфейса базы данных запросов, — которая обеспечивала доступ к массивам пользовательских данных, хранящихся на серверах UStrive. Некоторые записи пользователей содержали больше данных, чем другие, включая информацию, предоставленную студентом, такую как пол и дата рождения. Источник сообщил, что на момент обнаружения утечки было не менее 238 000 записей пользователей. При этом UStrive заявляет на своей домашней странице, что более «1,1 миллиона студентов выбрали наставника UStrive».

TechCrunch подтвердил утечку данных после создания новой учетной записи на UStrive и уведомил руководство компании по электронной почте в четверг.

Джон Д. Макинтайр, юрист из виргинской юридической фирмы McIntyre Stein, представляющей интересы UStrive, заявил в письме, предоставленном TechCrunch позднее в четверг, что UStrive «в настоящее время находится в судебном процессе с одним из своих бывших инженеров-программистов», и в связи с этим возможности компании по реагированию «несколько ограничены».

TechCrunch сообщил Макинтайру, что в компании по-прежнему сохраняется уязвимость, подвергающая риску личную информацию детей, и попросил Макинтайра уведомить TechCrunch, если UStrive планирует устранить утечку данных, и если да, то к какому сроку.

Макинтайр не ответил на наш запрос.

В ответ на первоначальное обращение TechCrunch технический директор UStrive Двэмиан Маклиш сообщил изданию по электронной почте поздно вечером в четверг, что утечка была «устранена».

TechCrunch направил Маклишу дополнительные электронные письма с вопросами об инциденте, в том числе: планирует ли компания уведомить своих пользователей об уязвимости, располагает ли компания возможностью проверить, имели ли место неправомерный или злонамеренный доступ к данным пользователей, и проходила ли платформа компании аудит безопасности, и если да, то кем.

Основатель UStrive Майкл Дж. Картер не комментировал данную статью.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: