Portalul Ravenna Hub, breșă gravă de securitate: datele personale a peste un milion de copii, expuse online

Un portal online pentru admiterea elevilor în școli, folosit de familii pentru înscrierea copiilor, a remediat o breșă de securitate care expunea datele lor personale.

Platforma Ravenna Hub, prin care părinții pot aplica și urmări statutul cererilor de admitere la mii de școli, permitea oricărui utilizator autentificat să acceseze datele de identificare personală asociate oricărui alt utilizator, inclusiv ale copiilor acestora.

Au fost expuse numele copiilor, datele lor de naștere, adresele, fotografiile, precum și informații despre școala la care învață sau la care aplică. De asemenea, erau vizibile adresele de email și numerele de telefon ale părinților, dar și informații despre frații și surorile copiilor.

Compania VentureEd Solutions, cu sediul în Florida, care dezvoltă și administrează Ravenna Hub, menționează pe site-ul său că deservește peste un milion de elevi și procesează anual sute de mii de cereri de admitere.

Vulnerabilitatea a fost descoperită miercuri, iar compania a fost informată imediat. VentureEd a remediat eroarea în aceeași zi. Raportul despre incident a fost însă făcut public abia după ce s-a putut verifica faptul că problema a fost într-adevăr rezolvată.

Nick Laird, directorul executiv al VentureEd Solutions, a declarat prin email că firma a reușit să reproducă problema și a intervenit pentru a elimina vulnerabilitatea.

Laird a precizat că firma investighează incidentul, dar nu a dorit să se angajeze că îi va informa pe utilizatori despre breșa de securitate. El nu a spus nici dacă societatea are posibilitatea tehnică de a verifica eventuale accesări neautorizate ale datelor altor utilizatori. A mai fost întrebat dacă securitatea Ravenna Hub a fost evaluată de un auditor extern și, dacă da, de cine. Laird nu a oferit detalii și a refuzat alte comentarii.

Nu este clar cine, dacă cineva, este responsabil de supravegherea securității cibernetice în cadrul VentureEd și al platformei Ravenna Hub.

Vulnerabilitatea aparține categoriei cunoscute sub numele de „insecure direct object reference” (IDOR) – o deficiență comună de securitate care permite accesarea unor informații stocate din cauza unor mecanisme de protecție slabe sau inexistente la nivelul serverelor.

În practică, această eroare permitea oricărui utilizator conectat să deschidă fișa de aplicație a altui elev, cu toate datele personale aferente, doar prin modificarea, în bara de adrese a browserului, a numărului unic asociat profilului acelui elev.

În cazul Ravenna Hub, aceste numere de elev sunt secvențiale. Astfel, un utilizator putea ajunge la datele unui alt copil doar schimbând numărul de profil cu una sau mai multe cifre.

La crearea unui cont nou, cu date de test, s-a constatat că adresa web conținea un număr din șapte cifre. Rezulta că existau deja puțin peste 1,63 milioane de înregistrări anterioare, care puteau fi accesate de orice alt utilizator al platformei.

Acesta este doar cel mai recent incident de securitate generat de erori tehnice relativ simple, dar cu impact serios asupra confidențialității datelor copiilor. În ianuarie, o platformă online de mentorat educațional a expus datele personale ale utilizatorilor săi, multi dintre ei fiind încă elevi.