Online mentorluk platformu UStrive, kullanıcılarının, özellikle de çocukların kişisel bilgilerini açığa çıkaran bir güvenlik açığını giderdiğini duyurdu. Bu açığa maruz kalan bilgiler arasında kullanıcıların tam adları, e-posta adresleri, telefon numaraları ve diğer özel veriler bulunuyordu. Bu bilgiler, platformdaki herhangi bir başka kayıtlı kullanıcı tarafından erişilebilir durumdaydı.
ÖĞRENCİLERE YÖNELİK MENTORLUK PLATFORMUNDA KORKUNÇ SIZINTI
Daha önce Strive for College olarak bilinen kar amacı gütmeyen kuruluş, lise ve üniversite öğrencilerine çevrimiçi mentorluk hizmeti sunuyor. Ancak, bu güvenlik ihlali hakkında kullanıcıları bilgilendirmeyi planlayıp planlamadıklarına dair bir açıklama yapmadılar. Geçtiğimiz hafta, adının açıklanmasını istemeyen bir kişi, UStrive'ın mentorluk platformundaki bu güvenlik açığını TechCrunch'a bildirdi. Kullanıcı profillerini görüntülerken siteyi gezen ve oturum açmış herhangi bir kullanıcı, tarayıcı araçlarında kullanıcıların kişisel bilgilerinin akışını görebiliyordu.
GİZLİ VERİLER GÜVENLİK AÇIĞI NEDENİYLE GÖRÜLEBİLİR HALDEYDİ
Bildirilenlere göre UStrive, Amazon üzerinde barındırılan ve kullanıcı verilerine erişim sağlayan savunmasız bir GraphQL uç noktası kullanıyordu. Bu durum, UStrive'ın sunucularında saklanan kullanıcı verilerinin büyük miktarlarda ele geçirilmesine yol açıyordu. Bazı kullanıcı kayıtlarında, öğrencinin cinsiyeti ve doğum tarihi gibi ek bilgiler de bulunuyordu. Keşfedildiği anda en az 238.000 kullanıcı kaydının bu durumda olduğu belirtildi. UStrive'ın ana sayfasında ise 1.1 milyondan fazla öğrencinin mentorluk için kaydolduğu bilgisi yer alıyor. TechCrunch, yeni bir kullanıcı hesabı oluşturarak veri sızıntısını doğruladı ve şirketin yöneticilerine e-posta yoluyla bilgi verdi. Şirketin avukatı John D. McIntyre, TechCrunch'a verdiği bir mektupta, UStrive'ın "eski bir yazılım mühendisiyle davalık olduğunu" ve bu nedenle şirketin "yanıt verme kabiliyetinin sınırlı olduğunu" belirtti. TechCrunch, şirketin hala çocukların özel ve kişisel bilgilerini açığa çıkaran bir güvenlik açığına sahip olduğunu ve McIntyre'dan şirketin bu açığı düzeltmeyi planlayıp planlamadığı ve planlıyorsa ne zaman düzeltileceği konusunda bilgi istedi. Ancak McIntyre'dan bir yanıt gelmedi. TechCrunch'ın ilk ulaşımına yanıt olarak, UStrive'ın teknoloji sorumlusu Dwamian Mcleish, açığın "giderildiğini" belirtti. TechCrunch, Mcleish'e kullanıcıları bilgilendirme planları, verilerin kötüye kullanılıp kullanılmadığını kontrol etme yetenekleri ve güvenlik denetimi yapılıp yapılmadığı gibi ek sorularla takip e-postaları gönderdi. UStrive kurucusu Michael J. Carter ise konuyla ilgili yorum yapmadı.
