موقع الإرشاد عبر الإنترنت UStrive قد عالج ثغرة أمنية كشفت المعلومات الشخصية لمستخدميه، بما في ذلك الأطفال.
تضمنت البيانات المكشوفة الأسماء الكاملة، وعناوين البريد الإلكتروني، وأرقام الهواتف، ومعلومات أخرى غير عامة ومقدمة من قبل المستخدمين، والتي كانت متاحة لأي مستخدم آخر مسجل الدخول.
المنظمة غير الربحية، المعروفة سابقًا باسم Strive for College، توفر إرشادًا عبر الإنترنت لطلاب المدارس الثانوية والجامعات من خلال منصتها. لم تُفصح المنظمة عن ما إذا كانت تخطط لإعلام المستخدمين حول الحادثة الأمنية.
الأسبوع الماضي، نبه شخص طلب عدم ذكر اسمه موقع TechCrunch بخصوص الثغرة الأمنية على منصة إرشاد UStrive. من خلال فحص حركة المرور على الشبكة أثناء تسجيل الدخول والتنقل في الموقع — مثل عرض ملفات تعريف المستخدمين — يمكن لأي شخص رؤية سيول من المعلومات الشخصية للمستخدمين في أدوات المتصفح الخاصة بهم.
قال الشخص إن UStrive كانت تعتمد على نقطة نهاية GraphQL المستضافة على أمازون، وهي نوع من واجهة قاعدة البيانات للاستعلام، التي سمحت بالوصول إلى كميات كبيرة من بيانات المستخدمين المخزنة على خوادم UStrive. احتوت بعض سجلات المستخدمين على بيانات أكثر من غيرها، بما في ذلك المعلومات المقدمة من الطالب، مثل جنسه وتاريخ ميلاده. قال الشخص إنه كان هناك على الأقل 238,000 سجل مستخدم في وقت الاكتشاف. بينما تشير UStrive على صفحتها الرئيسية إلى أن “أكثر من 1.1 مليون طالب قد اختاروا الحصول على مرشد من UStrive.”
أكدت TechCrunch تعرض البيانات بعد إنشاء حساب مستخدم جديد على UStrive، وأبلغت مسؤولين الشركة عبر البريد الإلكتروني يوم الخميس.
قال جون د. ماكنتاير، محامي من مكتب المحاماة فيرجينيا ماكنتاير ستاين، والذي يمثل UStrive، في رسالة قدمت لـ TechCrunch لاحقًا يوم الخميس إن UStrive “حالياً في نزاع قانوني مع أحد مهندسي البرمجيات السابقين”، ومن ثم فإن الشركة “محدودة إلى حد ما في قدرتها على الرد.”
أخبَرَت TechCrunch ماكنتاير أن الشركة كانت لا تزال تعاني من ثغرة أمنية تكشف المعلومات الخاصة والشخصية للأطفال، وسألت ماكنتاير عما إذا كانت UStrive تخطط لإصلاح تسرّب البيانات، وإذا كان الأمر كذلك، فمتَى.
لم يستجب ماكنتاير لاستفساراتنا.
ردًا على تواصل TechCrunch الأولي، أخبر كبير مسؤولي التقنية في UStrive دواميَن مكليش TechCrunch عبر البريد الإلكتروني في وقت متأخر من يوم الخميس أن التعرض قد تم “تداركه.”
أرسلت TechCrunch لمكليش رسائل متابعة مع مزيد من الأسئلة حول الحادث، بما في ذلك: ما إذا كانت الشركة تخطط لإبلاغ مستخدميها بشأن الثغرة الأمنية، وما إذا كان لدى الشركة القدرة على التحقق مما إذا كان هناك أي وصول غير مناسب أو خبيث لبيانات المستخدمين، وما إذا كانت منصة الشركة قد خضعت لتدقيق أمني ومن قام به.
لم يُعلق مؤسس UStrive مايكل ج. كارتر على هذه المقالة.