Um site de admissão de estudantes usado por famílias para matricular crianças em escolas corrigiu uma falha de segurança que expunha suas informações pessoais.
O site Ravenna Hub, que permite que os pais se inscrevam e acompanhem o status das inscrições de seus filhos em milhares de escolas, permitia que qualquer usuário logado acessasse os dados de identificação pessoal associados a qualquer outro usuário, incluindo seus filhos.
Os dados expostos incluem nomes de crianças, datas de nascimento, endereços, fotos e detalhes sobre sua escola. Endereços de e-mail e números de telefone dos pais, bem como informações sobre irmãos dos filhos também foram expostos.
A VentureEd Solutions, com sede na Flórida, que desenvolve e mantém Ravenna Hub, diz em seu site que atende mais de um milhão de estudantes e processa centenas de milhares de inscrições por ano.
O TechCrunch soube da vulnerabilidade pela primeira vez na quarta-feira e logo depois alertou a empresa. VentureEd corrigiu o bug no mesmo dia, mas o TechCrunch manteve este relatório até que pudéssemos verificar se o bug foi corrigido.
Nick Laird, presidente-executivo da VentureEd Solutions, disse ao TechCrunch por e-mail que a empresa conseguiu replicar o problema e corrigiu a vulnerabilidade.
Laird disse que a empresa estava investigando o incidente, mas não se comprometeria a notificar os usuários sobre a falha de segurança, nem a dizer – quando questionado pelo TechCrunch – se a empresa tem a capacidade de verificar se houve algum acesso indevido aos dados de outros usuários. Também perguntamos se a segurança do Ravenna Hub foi verificada por terceiros e, em caso afirmativo, por quem. Laird não quis dizer e se recusou a comentar mais.
Não está claro quem supervisiona a segurança cibernética na VentureEd e no Ravenna Hub, se é que existe alguém.
A vulnerabilidade é conhecida como referência direta de objeto insegura, ou IDOR, um falha de segurança comum que permite aos usuários acessar informações armazenadas devido a controles de segurança fracos ou inexistentes nos servidores em questão.
Na prática, o bug teria permitido que qualquer usuário logado acessasse o arquivo de inscrição de outro aluno, incluindo suas informações pessoais, modificando o número exclusivo associado ao perfil de um aluno usando a barra de endereços do navegador da web.
No caso do Ravenna Hub, os números dos alunos são sequenciais, ou seja, era possível a qualquer usuário acessar os dados de outro aluno alterando o número do perfil em um ou mais dígitos.
Quando o TechCrunch criou uma nova conta com dados de teste, descobrimos que o endereço da web continha um número de sete dígitos. Como tal, havia pouco mais de 1,63 milhões de registos anteriores ao nosso que eram acessíveis a qualquer outro utilizador.
Este é o mais recente lapso de segurança envolvendo falhas simples de segurança que afetam as informações pessoais de crianças. Em janeiro, site de mentoria online UStrive expôs as informações pessoais de seus usuáriosmuitos dos quais ainda estão na escola.
