學生入學申請網站漏洞導致兒童個人資訊外洩
Ravenna Hub 是一個讓家長申請並追蹤孩子在數千所學校申請狀態的網站,該網站允許任何登入用戶訪問與其他用戶(包括其子女)相關的個人識別數據。外洩的數據包括兒童的姓名、出生日期、地址、照片以及學校詳情。
主題
最新消息
人工智慧 (AI)
亞馬遜 (Amazon)
應用程式 (Apps)
生物技術與健康
氣候
雲端運算
商業
加密貨幣
企業
電動車 (EVs)
金融科技
募資
小工具 (Gadgets)
遊戲
政府與政策
硬體
裁員
媒體與娛樂
Meta
微軟 (Microsoft)
隱私
機器人
安全
社交
太空
新創公司
TikTok
交通運輸
創投
更多來自 TechCrunch
團隊成員
活動
Startup Battlefield
StrictlyVC
電子報
播客 (Podcasts)
影片
合作夥伴內容
TechCrunch 品牌工作室
Crunchboard
聯繫我們
學生入學網站漏洞暴露兒童個人資訊
一個供家庭用於幫孩子報名入學的學生入學網站,已修復了一項會暴露個人資訊的安全漏洞。
該網站名為 Ravenna Hub,家長可透過此平台向數千所學校提交申請並追蹤孩子的申請狀態。該網站先前允許任何登入用戶訪問與其他任何用戶(包括其子女)相關的個人識別資料。
暴露的數據包括兒童的姓名、出生日期、地址、照片以及學校詳情。家長的電子郵件地址和電話號碼,以及兒童兄弟姐妹的資訊也遭到洩露。
總部位於佛羅里達州的 VentureEd Solutions 負責開發和維護 Ravenna Hub。該公司在其網站上表示,其服務對象超過一百萬名學生,每年處理數十萬份申請。
TechCrunch 於週三首次得知該漏洞,並隨即通知了該公司。VentureEd 在當天修復了該漏洞,但 TechCrunch 直到確認漏洞已修復後才發布此報導。
VentureEd Solutions 執行長 Nick Laird 在給 TechCrunch 的電子郵件中表示,公司已成功重現該問題並解決了該漏洞。
Laird 表示公司正在調查此事件,但他不願承諾是否會通知用戶有關此安全疏漏的消息,且在 TechCrunch 詢問時,也未說明公司是否有能力檢查是否有其他用戶的數據遭到不當訪問。我們還詢問了 Ravenna Hub 是否曾由第三方進行安全檢查,如果有,是由誰進行的。Laird 未予回應,並拒絕進一步評論。
目前尚不清楚 VentureEd 和 Ravenna Hub 是否有人負責監督網絡安全。
該漏洞被稱為「不安全的直接對象引用」(Insecure Direct Object Reference,簡稱 IDOR),這是一種常見的安全缺陷,由於相關伺服器上的安全控制薄弱或不存在,導致用戶可以訪問存儲的資訊。
在實際操作中,該漏洞允許任何登入用戶透過瀏覽器網址列修改與學生檔案關聯的唯一編號,從而訪問另一名學生的申請文件,包括其個人資訊。
在 Ravenna Hub 的案例中,學生編號是連續的,這意味著任何用戶只要將個人檔案編號更改一個或多個數字,就有可能訪問另一名學生的數據。
當 TechCrunch 使用測試數據創建新帳戶時,我們發現網址包含一個七位數的數字。因此,在我們的記錄之前,有略多於 163 萬條記錄可供任何其他用戶訪問。
這是近期涉及簡單安全缺陷並影響兒童個人資訊的最新一起安全疏漏。今年 1 月,在線導師網站 UStrive 也暴露了其用戶的個人資訊,其中許多用戶仍在校就讀。
相關文章