شاشوف ShaShof

ثغرة في موقع قبول الطلاب كشفت المعلومات الشخصية للأطفال

closed padlocks on a green background with the exception of one lock, in red, that's open, symbolizing badly handled data breaches

Written by

شاشوف ShaShof

in

, ,

موقع قبول الطلاب الذي يستخدمه الأهالي لتسجيل الأطفال في المدارس قد أصلح ثغرة أمنية كانت تكشف معلوماتهم الشخصية.

الموقع، Ravenna Hub، الذي يسمح للأهالي بالتقديم وتتبع حالة طلبات أطفالهم عبر آلاف المدارس، كان يسمح لأي مستخدم مسجل الدخول بالوصول إلى البيانات الشخصية المرتبطة بأي مستخدم آخر، بما في ذلك أطفالهم.

البيانات المكشوفة تشمل أسماء الأطفال، تواريخ الميلاد، العناوين، الصور، وتفاصيل عن مدارسهم. كما تم كشف عناوين البريد الإلكتروني وأرقام الهواتف للأهالي، بالإضافة إلى معلومات عن أشقاء الأطفال.

شركة VentureEd Solutions، التي تتخذ من فلوريدا مقراً لها وتقوم بتطوير وصيانة Ravenna Hub، تقول على موقعها الإلكتروني إنها تخدم أكثر من مليون طالب، وتعالج مئات الآلاف من الطلبات سنويًا.

علمت TechCrunch أولاً بالثغرة يوم الأربعاء وسرعان ما أبلغت الشركة. قامت VentureEd بإصلاح العطل في نفس اليوم، ولكن TechCrunch احتفظت بهذا التقرير حتى نتمكن من التحقق من إصلاح العطل.

قال نيك ليرد، الرئيس التنفيذي لشركة VentureEd Solutions، لـ TechCrunch في بريد إلكتروني إن الشركة تمكنت من تكرار المشكلة وتناولت الثغرة.

قال ليرد إن الشركة كانت تحقق في الحادث، لكنه لم يلتزم بإخطار المستخدمين عن الثغرة الأمنية، أو يقول – عندما سألته TechCrunch – إذا كانت الشركة لديها القدرة على التحقق من ما إذا كان هناك أي وصول غير مناسب لبيانات مستخدمين آخرين. وسألنا أيضًا إذا كانت Ravenna Hub قد قامت بفحص أمنها بواسطة طرف ثالث، وإذا كان الأمر كذلك، فمن قبل. لم يرد ليرد على ذلك ورفض التعليق أكثر.

ليس من الواضح من، إن كان هناك أحد، يشرف على الأمن السيبراني في VentureEd وRavenna Hub.

تُعرف الثغرة بـ “مرجع الكائن المباشر غير الآمن” أو IDOR، وهي عيب أمني شائع يسمح للمستخدمين بالوصول إلى المعلومات المخزنة بسبب ضعف أو عدم وجود ضوابط أمنية على الخوادم المعنية.

عمليًا، كانت هذه الثغرة ستسمح لأي مستخدم مسجل الدخول بالوصول إلى ملف طلب طالب آخر، بما في ذلك معلوماته الشخصية، عن طريق تعديل الرقم الفريد المرتبط بملف الطالب باستخدام شريط عنوان المتصفح الخاص بهم.

في حالة Ravenna Hub، الأرقام الطلابية متسلسلة، مما يعني أنه كان من الممكن لأي مستخدم الوصول إلى بيانات طالب آخر عن طريق تغيير رقم الملف الرقمي برقم واحد أو أكثر.

عندما أنشأت TechCrunch حسابًا جديدًا ببيانات اختبار، وجدنا أن عنوان الويب يحتوي على رقم مكون من سبعة أرقام. وبالتالي، كان هناك أكثر من 1.63 مليون سجل قبل سجلنا كان يمكن الوصول إليها من قبل أي مستخدم آخر.

هذه هي أحدث ثغرة أمنية تتعلق بعيوب أمنية بسيطة تؤثر على المعلومات الشخصية للأطفال. في يناير، كشف موقع التوجيه عبر الإنترنت UStrive المعلومات الشخصية لمستخدميه، والعديد منهم لا يزالون في المدرسة.


المصدر

Comments

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

More posts

Exit mobile version