Сайт для зачисления студентов, которым пользуются семьи для записи детей в школы, устранил уязвимость безопасности, которая раскрывала их личные данные.
Веб-сайт Ravenna Hub, позволяющий родителям подавать заявки и отслеживать статус заявлений своих детей в тысячи школ, предоставлял любому зарегистрированному пользователю доступ к личным данным, связанным с любым другим пользователем, включая их детей.
Раскрытые данные включают имена детей, даты рождения, адреса, фотографии и сведения об их школе. Также были раскрыты адреса электронной почты и номера телефонов родителей, а также информация о братьях и сестрах детей.
Компания VentureEd Solutions из Флориды, разрабатывающая и поддерживающая Ravenna Hub, утверждает на своем веб-сайте, что обслуживает более миллиона студентов и обрабатывает сотни тысяч заявлений в год.
TechCrunch впервые узнал об уязвимости в среду и вскоре после этого уведомил компанию. VentureEd устранила ошибку в тот же день, но TechCrunch отложил эту публикацию до тех пор, пока не сможет убедиться, что ошибка исправлена.
Ник Лэрд, генеральный директор VentureEd Solutions, сообщил TechCrunch в электронном письме, что компания смогла воспроизвести проблему и устранила уязвимость.
Лэрд заявил, что компания расследует инцидент, но не стал комментировать уведомление пользователей об уязвимости безопасности или отвечать на вопрос TechCrunch о том, имеет ли компания возможность проверить, имел ли место несанкционированный доступ к данным других пользователей. Мы также спросили, проверялась ли безопасность Ravenna Hub сторонней организацией, и если да, то кем. Лэрд отказался отвечать и дал понять, что не будет комментировать ситуацию дальше.
Неясно, кто, если вообще кто-то, контролирует кибербезопасность в VentureEd и Ravenna Hub.
Уязвимость известна как небезопасное прямое обращение к объекту (insecure direct object reference, IDOR) — распространенный недостаток безопасности, который позволяет пользователям получать доступ к хранимой информации из-за слабых или отсутствующих средств контроля безопасности на соответствующих серверах.
На практике ошибка позволяла любому зарегистрированному пользователю получить доступ к файлу заявления другого ученика, включая его личную информацию, путем изменения уникального номера, связанного с профилем ученика, через адресную строку веб-браузера.
В случае Ravenna Hub номера студентов идут последовательно, что позволяло любому пользователю получить доступ к данным другого ученика, изменив номер профиля на одну или несколько цифр.
Когда TechCrunch создал новую учетную запись с тестовыми данными, мы обнаружили, что веб-адрес содержал семизначный номер. Таким образом, до нашей записи существовало чуть более 1,63 миллиона записей, доступных любому другому пользователю.
Это последняя уязвимость безопасности, связанная с простыми ошибками, затрагивающими личную информацию детей. В январе онлайн-платформа для наставничества UStrive раскрыла личные данные своих пользователей, многие из которых все еще учатся в школе.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker
