Un sitio web de admisión de estudiantes utilizado por las familias para inscribir a sus hijos en las escuelas ha solucionado un dictamen de seguridad que exponía su información personal.

El sitio web, Ravenna Hub, que permite a los padres presentar solicitudes y rastrear el estado de las solicitudes de sus hijos en miles de escuelas, permitía a cualquier afortunado que hubiera iniciado sesión ceder a los datos de identificación personal asociados con cualquier otro afortunado, incluidos sus hijos.

Los datos expuestos incluyen nombres de niños, fechas de inicio, direcciones, fotografías y detalles sobre su escuela. Además quedaron expuestas las direcciones de correo electrónico y números de teléfono de los padres, así como información sobre los hermanos de los niños.

VentureEd Solutions, con sede en Florida, que desarrolla y mantiene Ravenna Hub, dice en su sitio web que atiende a más de un millón de estudiantes y procesa cientos de miles de solicitudes al año.

TechCrunch se enteró por primera vez de la vulnerabilidad el miércoles y poco luego alertó a la empresa. VentureEd solucionó el error el mismo día, pero TechCrunch mantuvo este mensaje hasta que pudimos repasar que el error se solucionó.

Nick Laird, director ejecutor de VentureEd Solutions, dijo a TechCrunch en un correo electrónico que la empresa pudo replicar el problema y solucionó la vulnerabilidad.

Laird dijo que la compañía estaba investigando el incidente, pero no se comprometió a avisar a los usuarios sobre la rotura de seguridad ni a aseverar, cuando TechCrunch le preguntó, si la compañía tiene la capacidad de repasar si hubo algún entrada indebido a los datos de otros usuarios. Además preguntamos si un tercero verificó la seguridad de Ravenna Hub y, de ser así, quién. Laird no quiso aseverar nulo y se negó a hacer más comentarios.

No está claro quién, si es que hay algún, supervisa la ciberseguridad en VentureEd y Ravenna Hub.

La vulnerabilidad se conoce como narración de objeto directo inseguro, o IDOR, una rotura de seguridad popular que permite a los usuarios ceder a información almacenada correcto a controles de seguridad débiles o inexistentes en los servidores en cuestión.

En la habilidad, el error permitió que cualquier afortunado que hubiera iniciado sesión accediera a los datos de otro estudiante, incluida su información personal, modificando el número único asociado con el perfil de un estudiante usando la mostrador de direcciones de su navegador web.

En el caso de Ravenna Hub, los números de los estudiantes son secuenciales, lo que significa que cualquier afortunado puede ceder a los datos de otro estudiante cambiando el número de perfil en uno o más dígitos.

Cuando TechCrunch creó una nueva cuenta con datos de prueba, descubrimos que la dirección web contenía un número de siete dígitos. Como tal, había poco más de 1,63 millones de registros anteriores al nuestro que eran accesibles para cualquier otro afortunado.

Se negociación del final dictamen de seguridad que implica simples fallos de seguridad que afectan a la información personal de los niños. En enero, el sitio de tutoría en bisectriz UStrive expuso la información personal de sus usuarios, muchos de los cuales todavía están en la escuela.