Un sitio web de admisión de estudiantes que las familias utilizan para inscribir a sus hijos en las escuelas ha solucionado una falla de seguridad que exponía información personal.
Ravenna Hub, un sitio web donde los padres pueden presentar solicitudes y rastrear el estado de las solicitudes de sus hijos en miles de escuelas, permitió a los usuarios registrados acceder a datos de identificación personal asociados con otros usuarios, incluidos sus hijos.
Los datos filtrados incluyen nombres de niños, fechas de nacimiento, direcciones, fotografías y detalles de la escuela. También se filtraron las direcciones de correo electrónico y los números de teléfono de los padres, así como información sobre los hermanos del niño.
VenturEd Solutions, con sede en Florida, que desarrolló y mantiene Ravenna Hub, dice en el sitio web de Ravenna Hub que la compañía atiende a más de 1 millón de estudiantes y procesa cientos de miles de solicitudes anualmente.
TechCrunch se enteró por primera vez de la vulnerabilidad el miércoles y alertó a la empresa poco después. VenturEd solucionó el error el mismo día, pero TechCrunch retuvo este informe hasta que pudo confirmar que el error se había solucionado.
Nick Laird, director ejecutivo de VenturEd Solutions, dijo a TechCrunch en un correo electrónico que la empresa pudo reproducir el problema y solucionó la vulnerabilidad.
Laird dijo que la compañía está investigando el incidente, pero no se comprometió a notificar a los usuarios sobre la falla de seguridad y no dijo en respuesta a las preguntas de TechCrunch si la compañía tenía la capacidad de confirmar si había habido acceso no autorizado a los datos de otros usuarios. También preguntamos si los controles de seguridad en Ravenna Hub fueron realizados por un tercero y, de ser así, quién. Laird no especificó ni rechazó hacer más comentarios.
No está claro quién, si es que hay alguien, supervisa la ciberseguridad de VenturEd y Ravenna Hub.
Esta vulnerabilidad, conocida como Referencia directa a objetos inseguros (IDOR), es una falla de seguridad común que permite a los usuarios acceder a información almacenada debido a controles de seguridad débiles o inexistentes en los servidores involucrados.
De hecho, este error permite que un usuario que haya iniciado sesión acceda a los datos de otro estudiante, incluida la información personal, utilizando la barra de direcciones del navegador web para cambiar el número único asociado con el perfil del estudiante.
Para Ravenna Hub, el número de estudiantes es consecutivo. Esto significaba que cualquier usuario podría acceder a los datos de otro estudiante cambiando uno o más dígitos en su número de perfil.
Cuando TechCrunch creó una nueva cuenta utilizando datos de prueba, descubrimos que la dirección web contenía siete dígitos. Entonces, antes de nuestro registro, había poco más de 1,63 millones de registros disponibles para otros usuarios.
Se trata de la última brecha de seguridad que implica un simple fallo de seguridad que afecta a la información personal de los niños. En enero, el sitio de tutoría en línea UStrive expuso la información personal de sus usuarios, muchos de los cuales todavía estaban en la escuela.
Source link
