Um site de admissão de estudantes usado por famílias para matricular crianças em escolas corrigiu uma falha de segurança que expunha suas informações pessoais.
O site Ravenna Hub, que permite que os pais se inscrevam e acompanhem o status das inscrições de seus filhos em milhares de escolas, permitia que qualquer usuário logado acessasse os dados de identificação pessoal associados a qualquer outro usuário, incluindo seus filhos.
Os dados expostos incluem nomes de crianças, datas de nascimento, endereços, fotos e detalhes sobre sua escola. Endereços de e-mail e números de telefone dos pais, bem como informações sobre irmãos dos filhos também foram expostos.
A VentureEd Solutions, com sede na Flórida, que desenvolve e mantém o Ravenna Hub, afirma em seu site que atende mais de um milhão de estudantes e processa centenas de milhares de inscrições por ano.
O TechCrunch soube da vulnerabilidade pela primeira vez na quarta-feira e logo depois alertou a empresa. VentureEd corrigiu o bug no mesmo dia, mas o TechCrunch manteve este relatório até que pudéssemos verificar se o bug foi corrigido.
Nick Laird, executivo-chefe da VentureEd Solutions, disse ao TechCrunch por e-mail que a empresa conseguiu replicar o problema e corrigiu a vulnerabilidade.
Laird disse que a empresa estava investigando o incidente, mas não se comprometeria a notificar os usuários sobre a falha de segurança, nem a dizer – quando questionado pelo TechCrunch – se a empresa tem a capacidade de verificar se houve algum acesso indevido aos dados de outros usuários. Também perguntamos se o Ravenna Hub teve sua segurança verificada por terceiros e, em caso afirmativo, por quem. Laird não quis dizer e se recusou a comentar mais.
Não está claro quem supervisiona a segurança cibernética na VentureEd e no Ravenna Hub, se é que existe alguém.
A vulnerabilidade é conhecida como referência direta insegura de objeto, ou IDOR, uma falha de segurança comum que permite aos usuários acessar informações armazenadas devido a controles de segurança fracos ou inexistentes nos servidores em questão.
Na prática, o bug permitia que qualquer usuário logado acessasse os dados de outro aluno, incluindo suas informações pessoais, modificando o número exclusivo associado ao perfil de um aluno usando a barra de endereços do navegador.
No caso do Ravenna Hub, os números dos alunos são sequenciais, ou seja, era possível a qualquer usuário acessar os dados de outro aluno alterando o número do perfil em um ou mais dígitos.
Quando o TechCrunch criou uma nova conta com dados de teste, descobrimos que o endereço da web continha um número de sete dígitos. Como tal, havia pouco mais de 1,63 milhões de registos anteriores ao nosso que eram acessíveis a qualquer outro utilizador.
Este é o mais recente lapso de segurança envolvendo falhas simples de segurança que afetam as informações pessoais de crianças. Em janeiro, o site de mentoria online UStrive expôs as informações pessoais dos seus usuários, muitos dos quais ainda estão na escola.
