El sitio de tutoría en línea UStrive ha resuelto una falla de seguridad que exponía la información personal de los usuarios, incluidos los niños.
Los datos filtrados incluían nombres de usuarios de UStrive, direcciones de correo electrónico, números de teléfono y otra información privada y proporcionada por los usuarios, y eran accesibles para otros usuarios que habían iniciado sesión.
La organización sin fines de lucro, anteriormente conocida como Strive for College, brinda instrucción en línea a estudiantes de secundaria y universitarios a través de su plataforma. La organización no dijo si planea notificar a los usuarios sobre el incidente de seguridad.
La semana pasada, alguien que solicitó el anonimato alertó a TechCrunch sobre una falla de seguridad en la plataforma de tutoría de UStrive. Cualquiera puede ver el flujo de su información personal en las herramientas de su navegador al inspeccionar el tráfico de su red al iniciar sesión, navegar por su sitio e incluso ver su perfil de usuario.
Según la persona, UStrive se basó en un punto final GraphQL vulnerable (un tipo de interfaz de base de datos de consulta) alojado por Amazon, que permitía el acceso a grandes cantidades de datos de usuario almacenados en los servidores de UStrive. Algunos registros de usuarios contenían más datos que otros, como información proporcionada por los estudiantes, como sexo y fecha de nacimiento. La persona dijo que había al menos 238.000 registros de usuarios en el momento del descubrimiento. Mientras tanto, la página de inicio de UStrive afirma que «más de 1,1 millones de estudiantes han optado por UStrive Mentoring».
TechCrunch reconoció la violación de datos después de crear una nueva cuenta de usuario en UStrive y notificó a los ejecutivos de la compañía por correo electrónico el jueves.
En una carta enviada a TechCrunch el jueves por la noche, el abogado John D. McIntyre de la firma de abogados de Virginia McIntyre Stein, que representa a UStrive, dijo que UStrive está «actualmente involucrado en un litigio con uno de sus antiguos ingenieros de software», lo que pone la capacidad de respuesta «algo limitada» de la compañía.
TechCrunch le dijo a McIntyre que la compañía todavía tenía fallas de seguridad en ese momento que exponían la información privada y privada de los niños, y le pidió a McIntyre que notificara a TechCrunch si UStrive planea arreglar la exposición de los datos y, de ser así, cuándo.
El Sr. McIntyre no respondió a nuestras preguntas.
En respuesta a la comunicación inicial de TechCrunch, Dwamian Mcleish, director de tecnología de UStrive, le dijo a TechCrunch en un correo electrónico el jueves por la noche que la exposición había sido «remediada».
TechCrunch envió a MacLeish un correo electrónico de seguimiento con más preguntas sobre el incidente. Estos incluyen si la empresa planea notificar a los usuarios sobre fallas de seguridad, si tiene la capacidad de determinar si ha habido acceso inapropiado o malicioso a los datos de los usuarios y si la plataforma de la empresa ha sido sometida a auditorías de seguridad y, de ser así, por quién.
El fundador de UStive, Michael J. Carter, no hizo comentarios para este artículo.
Source link
