Trang web tư vấn trực tuyến UStrive đã khắc phục một lỗ hổng an ninh, làm lộ thông tin cá nhân của người dùng, bao gồm cả trẻ em. Thông tin bị lộ bao gồm tên đầy đủ, địa chỉ email, số điện thoại và các thông tin khác không công khai do người dùng UStrive cung cấp, có thể truy cập được bởi bất kỳ người dùng nào khác đã đăng nhập.
Tổ chức phi lợi nhuận này, trước đây được gọi là Strive for College, cung cấp dịch vụ tư vấn trực tuyến cho học sinh trung học và sinh viên đại học thông qua nền tảng của mình. Tổ chức này không cho biết liệu họ có kế hoạch thông báo cho người dùng về sự cố an ninh hay không.
Tuần trước, một người giấu tên đã cảnh báo TechCrunch về lỗ hổng bảo mật trên nền tảng tư vấn của UStrive. Bằng cách kiểm tra lưu lượng truy cập mạng khi đăng nhập và điều hướng trang web – chẳng hạn như xem hồ sơ người dùng – bất kỳ ai cũng có thể xem luồng thông tin cá nhân của người dùng trong các công cụ trình duyệt của họ.
Theo nguồn tin, UStrive đã dựa vào một điểm cuối GraphQL dễ bị tổn thương do Amazon lưu trữ – một loại giao diện cơ sở dữ liệu truy vấn – cho phép truy cập vào một lượng lớn dữ liệu người dùng được lưu trữ trên máy chủ của UStrive. Một số bản ghi người dùng chứa nhiều dữ liệu hơn những bản ghi khác, bao gồm thông tin do học sinh cung cấp, chẳng hạn như giới tính và ngày sinh. Nguồn tin cho biết, vào thời điểm phát hiện, có ít nhất 238.000 bản ghi người dùng. Trong khi đó, UStrive cho biết trên trang chủ rằng hơn “1,1 triệu sinh viên đã đăng ký với một người cố vấn của UStrive.”
TechCrunch đã xác nhận việc lộ dữ liệu sau khi tạo một tài khoản người dùng mới trên UStrive và thông báo cho các giám đốc điều hành của công ty qua email vào thứ Năm. John D. McIntyre, một luật sư của hãng luật McIntyre Stein ở Virginia, đại diện cho UStrive, cho biết trong một lá thư gửi cho TechCrunch sau đó vào thứ Năm rằng UStrive “hiện đang tranh chấp với một trong những cựu kỹ sư phần mềm của mình” và do đó, công ty “bị hạn chế trong khả năng phản hồi.”
Theo tin từ TechCrunch.
