O site de mentoria online UStrive resolveu uma falha de segurança que expôs as informações pessoais de seus usuários, incluindo crianças.
Os dados expostos incluíam nomes completos, endereços de e-mail, números de telefone e outras informações não públicas e fornecidas pelos usuários do UStrive, que eram acessíveis a qualquer outro usuário conectado.
A organização sem fins lucrativos, anteriormente conhecida como Strive for College, oferece orientação online para estudantes do ensino médio e universitários por meio de sua plataforma. A organização não informou se planeja informar os usuários sobre o incidente de segurança.
Na semana passada, uma pessoa que pediu para não ser identificada alertou o TechCrunch sobre a falha de segurança na plataforma de mentoria do UStrive. Ao examinar o tráfego de rede enquanto estiver conectado e navegando no site – como visualizar perfis de usuário – qualquer pessoa poderá ver fluxos de informações pessoais dos usuários em suas ferramentas de navegador.
A pessoa disse que o UStrive dependia de um endpoint GraphQL vulnerável hospedado na Amazon – um tipo de interface de banco de dados de consulta – que permitia acesso a resmas de dados de usuários armazenados nos servidores do UStrive. Alguns registros de usuários continham mais dados do que outros, incluindo informações fornecidas pelo aluno, como sexo e data de nascimento. A pessoa disse que havia pelo menos 238 mil registros de usuários no momento da descoberta. Enquanto isso, a UStrive afirma em sua página inicial que mais de “1,1 milhão de estudantes optaram por um mentor da UStrive”.
O TechCrunch confirmou a exposição dos dados após criar uma nova conta de usuário no UStrive e notificou os executivos da empresa por e-mail na quinta-feira.
John D. McIntyre, advogado do escritório de advocacia McIntyre Stein da Virgínia, que representa a UStrive, disse em uma carta fornecida ao TechCrunch na quinta-feira que a UStrive está “atualmente em litígio com um de seus ex-engenheiros de software” e, como tal, a empresa está “um tanto limitada em sua capacidade de resposta”.
TechCrunch disse a McIntyre que a empresa ainda tinha uma falha de segurança na época, expondo informações privadas e pessoais de crianças, e pediu a McIntyre que notificasse o TechCrunch se a UStrive planejasse corrigir a exposição de dados e, em caso afirmativo, quando.
McIntyre não respondeu à nossa pergunta.
Em resposta à divulgação inicial do TechCrunch, o diretor de tecnologia da UStrive, Dwamian Mcleish, disse ao TechCrunch por e-mail na noite de quinta-feira que a exposição havia sido “remediada”.
O TechCrunch enviou e-mails de acompanhamento a Mcleish com mais perguntas sobre o incidente, incluindo: se a empresa planeja notificar seus usuários sobre a falha de segurança, se a empresa tem a capacidade de verificar se houve algum acesso indevido ou malicioso aos dados dos usuários e se a plataforma da empresa passou por uma auditoria de segurança e, em caso afirmativo, por quem.
O fundador do UStrive, Michael J. Carter, não fez comentários para este artigo.
