Секрети безпеки UStrive: як витік даних поставив під загрозу особисту інформацію мільйонів, зокрема дітей
1 min read

Секрети безпеки UStrive: як витік даних поставив під загрозу особисту інформацію мільйонів, зокрема дітей

Плахотнюк Сергій0

На платформі онлайн-менторства UStrive, відомій допомогою у навчанні старшокласників та студентів, виникла серйозна проблема з безпекою, яка призвела до витоку особистої інформації користувачів, у тому числі дітей. Незважаючи на те, що організація, раніше відома як Strive for College, не повідомила про намір інформувати своїх клієнтів про інцидент, стало відомо, що дані, які потрапили до рук сторонніх осіб, містили повні імена, електронні адреси, номери телефонів та інші персональні дані.

Необхідність термінового реагування стала очевидною після того, як анонімний користувач попередив про вразливість платформи журналістів видання TechCrunch. Під час огляду трафіку на сайті було виявлено, що будь-яка особа, яка увійшла в систему, могла отримати доступ до великої кількості приватної інформації, яку користувачі самі надали. У дослідженні вказувалося на наявність принаймні 238 тисяч записів про користувачів, з яких частина містила більш детальну інформацію, включаючи гендер і дату народження учнів.

Проблема полягала в уразливій точці доступу GraphQL, розміщеній на Amazon, яка забезпечувала доступ до значних обсягів даних, що зберігалися на серверах UStrive. За даними самої організації, на їхній платформі понад 1.1 мільйона учнів обрали собі наставників.

TechCrunch підтвердив екстракцію даних, створивши новий обліковий запис на UStrive, і повідомив керівництво про вразливість. Адвокат компанії, що представляє UStrive, вказав, що організація наразі перебуває в процесі судового розбору з колишнім програмістом, тому її можливості для оперативних дій обмежені.

Хоча представник UStrive вказав, що проблема із витоком даних була виправлена, журналісти надіслали нові запити щодо деталей інциденту. Наразі не було отримано відповіді на запитання, чи планує компанія сповістити користувачів про ситуацію, а також щодо можливості з’ясування обставин, за яких дані могли бути доступні стороннім особам.

Ситуація навколо UStrive поставила під питання безпеку обробки особистих даних на платформі, увага до якої зростає, особливо в світлі актуальних викликів у сферах цифрової безпеки та приватності.

Related Posts