پلتفرم UStrive اخیرا با چالش امنیتی بزرگی در زمینه لو رفتن اطلاعات کاربران و فاش شدن داده های حساس هزاران دانش آموز مواجه شده که لزوم بازنگری در امنیت سیستم های آموزشی را نشان می دهد.
سایت مشاوره آنلاین UStrive مشکل امنیتی ای رو که باعث لو رفتن اطلاعات کاربران، از جمله اطلاعات شخصی کودکان شده بود، برطرف کرده.
داده های فاش شده شامل نام کامل، آدرس ایمیل، شماره تلفن و سایر اطلاعات غیرعمومی و ارائه شده توسط کاربران UStrive بود که برای هر کاربر دیگه ای که وارد سیستم شده بود، قابل دسترسی بود. این حادثه نشان دهنده اهمیت جلوگیری از لو رفتن اطلاعات کاربران است.
این سازمان غیرانتفاعی که قبلا با نام Strive for College شناخته می شد، از طریق پلتفرمش به دانش آموزان دبیرستانی و دانشجویان مشاوره آنلاین میده. این سازمان نگفته که آیا قصد داره کاربران رو در جریان این حادثه امنیتی قرار بده یا نه.
چگونگی لو رفتن اطلاعات کاربران در پلتفرم UStrive
هفته گذشته، شخصی که خواست نامش فاش نشه، TechCrunch رو از نقص امنیتی در پلتفرم مشاوره UStrive مطلع کرد. با بررسی ترافیک شبکه در حالی که وارد سایت شده بودن و در اون گشت می زدن – مثلا با مشاهده پروفایل های کاربری – هر کسی می تونست جریانی از اطلاعات شخصی کاربران رو در ابزارهای مرورگر خودش ببینه. این مورد یکی از دلایل اصلی برای هشدار در مورد لو رفتن اطلاعات کاربران است.
این شخص گفته که UStrive به یک نقطه پایانی (endpoint) آسیب پذیر GraphQL میزبانی شده در آمازون متکی بوده – نوعی رابط دیتابیس پرس وجو – که اجازه دسترسی به حجم زیادی از داده های کاربران ذخیره شده در سرورهای UStrive رو می داد. برخی از سوابق کاربری حاوی داده های بیشتری نسبت به بقیه بودن، از جمله اطلاعات ارائه شده توسط دانش آموز، مثل جنسیت و تاریخ تولدش. این شخص گفت که در زمان کشف این مشکل، حداقل 238,000 رکورد کاربری وجود داشته. در همین حال، UStrive در صفحه اصلی خودش اعلام کرده که بیش از «1.1 میلیون دانش آموز برای داشتن یک مشاور UStrive ثبت نام کردن.» این حادثه اهمیت حفاظت در برابر لو رفتن اطلاعات کاربران را دوچندان می کند.
رسانه TechCrunch پس از ایجاد یک حساب کاربری جدید در UStrive، لو رفتن داده ها رو تایید کرد و روز پنجشنبه از طریق ایمیل به مدیران این شرکت اطلاع داد. این تایید، نگرانی ها در مورد لو رفتن اطلاعات کاربران را افزایش داد.
پاسخ UStrive به حادثه لو رفتن اطلاعات کاربران
جان دی. مک اینتایر، وکیلی از شرکت حقوقی مک اینتایر استاین در ویرجینیا که نمایندگی UStrive رو بر عهده داره، در نامه ای که اواخر روز پنجشنبه به TechCrunch ارائه شد، گفت که UStrive «در حال حاضر درگیر یک دعوای حقوقی با یکی از مهندسان نرم افزار سابق خودشه» و به همین دلیل شرکت «تا حدودی در توانایی خودش برای پاسخگویی محدودیت داره.» این مسائل می تواند بر نحوه رسیدگی به لو رفتن اطلاعات کاربران تاثیر بگذارد.
رسانه TechCrunch به مک اینتایر گفت که شرکت در اون زمان هنوز با نقص امنیتی ای مواجه بود که اطلاعات خصوصی و شخصی کودکان رو فاش می کرد، و از مک اینتایر خواست تا در صورتی که UStrive برنامه ای برای رفع این مشکل داره، اطلاع بده و بگه که تا چه زمانی این کار رو انجام میده یا نه.
مک اینتایر به پرسش ما پاسخی نداد.
در پاسخ به اولین تماس TechCrunch، دوامیان مک لیش، مدیر ارشد فناوری UStrive، اواخر روز پنجشنبه با ایمیلی به TechCrunch گفت که مشکل لو رفتن اطلاعات «برطرف شده.»
رسانه TechCrunch ایمیل های پیگیری دیگه ای رو با سوالات بیشتر درباره این حادثه برای مک لیش فرستاد، از جمله: اینکه آیا شرکت قصد داره به کاربرانش در مورد نقص امنیتی اطلاع رسانی کنه، آیا شرکت توانایی بررسی دسترسی های غیرمجاز یا مخرب به داده های کاربران رو داره، و اینکه آیا پلتفرم شرکت مورد ممیزی امنیتی قرار گرفته یا نه و اگه گرفته، توسط چه کسی. این پرسش ها در خصوص لو رفتن اطلاعات کاربران، که یادآور چالش های مربوط به سرقت اطلاعات کاربران از میکس پنل و ابهامات آن است، همچنان بدون پاسخ مانده اند.
مایکل جی. کارتر، بنیانگذار UStrive، برای این مقاله نظری نداد.
وقوع چنین نقص های امنیتی در پلتفرم های آموزشی که با داده های حساس کودکان و نوجوانان سر و کار دارند، زنگ خطری جدی برای تمامی سازمان های مشابه است. ضرورت ممیزی های دوره ای و استفاده از زیرساخت های مطمئن تر در کنار شفافیت در پاسخگویی، تنها راه حفظ اعتماد کاربران و جلوگیری از آسیب های جبران ناپذیر در فضای سایبری است.
UStrive security lapse exposed personal data of its users, including children
