Ailelerin çocuklarını okullara kaydetmek için kullandığı bir öğrenci başvuru web sitesi, kişisel bilgileri açığa çıkaran bir güvenlik açığını kapattı. Ravenna Hub adlı site, ebeveynlerin binlerce okul için çocuklarının başvurularını yapmasına ve durumunu takip etmesine olanak tanırken, oturum açmış herhangi bir kullanıcının diğer kullanıcılara ait kişisel olarak tanımlanabilir verilere erişmesine izin veriyordu.
ÇOCUKLARIN TÜM BİLGİLERİ TEHLİKEDEYDİ
Açığa çıkan veriler arasında çocukların isimleri, doğum tarihleri, adresleri, fotoğrafları ve okul detayları bulunuyordu. Ebeveynlerin e-posta adresleri ve telefon numaralarının yanı sıra çocukların kardeşlerine ilişkin bilgiler de sızdırılmıştı. Florida merkezli VentureEd Solutions, web sitesinde bir milyondan fazla öğrenciye hizmet verdiğini ve yılda yüz binlerce başvuruyu işlediğini belirtiyor.
ŞİRKET SORUMLULUKTAN KAÇIYOR
TechCrunch, güvenlik açığını ilk olarak Çarşamba günü öğrendi ve hemen ardından şirketi uyardı. VentureEd aynı gün hatayı düzeltti, ancak TechCrunch, açığın kapatıldığını doğrulayana kadar bu raporu yayınlamadı. VentureEd Solutions'ın CEO'su Nick Laird, bir e-postada şirketin sorunu yeniden oluşturabildiğini ve güvenlik açığını giderdiğini söyledi. Laird, şirketin olayı araştırdığını belirtti, ancak kullanıcıları güvenlik açığı hakkında bilgilendirme sözü vermedi veya şirketin diğer kullanıcıların verilerine yanlış erişim olup olmadığını kontrol etme yeteneğine sahip olup olmadığını söylemedi.
BASİT BİR HATA BÜYÜK BİR RİSK YARATTI
Güvenlik açığı, güvenli olmayan doğrudan nesne referansı (IDOR) olarak biliniyor; bu, ilgili sunuculardaki zayıf veya var olmayan güvenlik kontrolleri nedeniyle kullanıcıların saklanan bilgilere erişmesine izin veren yaygın bir güvenlik hatasıdır. Uygulamada, bu hata, oturum açmış herhangi bir kullanıcının, web tarayıcısının adres çubuğunu kullanarak bir öğrencinin profil numarasını değiştirerek başka bir öğrencinin kişisel bilgileri de dahil olmak üzere başvuru dosyasına erişmesine olanak tanıyacaktı. Ravenna Hub'da öğrenci numaraları sıralı olduğu için, herhangi bir kullanıcının profil numarasını bir veya daha fazla rakam değiştirerek başka bir öğrencinin verilerine erişmesi mümkündü. TechCrunch test verileriyle yeni bir hesap oluşturduğunda, web adresinin yedi haneli bir numara içerdiğini buldu. Bu nedenle, bizimkilerden önce erişilebilen yaklaşık 1,63 milyon kayıt vardı. Bu, çocukların kişisel bilgilerini etkileyen basit güvenlik hatalarını içeren en son güvenlik açığıdır.
