O website de mentoria on-line UStrive resolveu uma falha de segurança que expôs as informações pessoais de seus usuários, incluindo crianças.
Os dados expostos incluíam nomes completos, endereços de e-mail, números de telefone e outras informações não públicas e fornecidas pelos usuários do UStrive, que eram acessíveis a qualquer outro usuário conectado.
A organização sem fins lucrativos, anteriormente conhecida como Attempt for Faculty, oferece orientação on-line para estudantes do ensino médio e universitários por meio de sua plataforma. A organização não informou se planeja informar os usuários sobre o incidente de segurança.
Na semana passada, uma pessoa que pediu para não ser identificada alertou o TechCrunch sobre a falha de segurança na plataforma de mentoria do UStrive. Ao examinar o tráfego de rede enquanto estiver conectado e navegando no website – como visualizar perfis de usuário – qualquer pessoa poderá ver fluxos de informações pessoais dos usuários em suas ferramentas de navegador.
A pessoa disse que o UStrive dependia de um endpoint GraphQL vulnerável hospedado na Amazon – um tipo de interface de banco de dados de consulta – que permitia acesso a resmas de dados de usuários armazenados nos servidores do UStrive. Alguns registros de usuários continham mais dados do que outros, incluindo informações fornecidas pelo aluno, como sexo e knowledge de nascimento. A pessoa disse que havia pelo menos 238 mil registros de usuários no momento da descoberta. Enquanto isso, UStrive declara em seu página inicial que mais de “1,1 milhão de estudantes optaram por um mentor UStrive”.
O TechCrunch confirmou a exposição dos dados após criar uma nova conta de usuário no UStrive e notificou os executivos da empresa por e-mail na quinta-feira.
John D. McIntyre, advogado do escritório de advocacia McIntyre Stein da Virgínia, que representa a UStrive, disse em uma carta fornecida ao TechCrunch na quinta-feira que a UStrive está “atualmente em litígio com um de seus ex-engenheiros de software program” e, como tal, a empresa está “um tanto limitada em sua capacidade de resposta”.
TechCrunch disse a McIntyre que a empresa ainda tinha uma falha de segurança na época, expondo informações privadas e pessoais de crianças, e pediu a McIntyre que notificasse o TechCrunch se a UStrive planejasse corrigir a exposição de dados e, em caso afirmativo, quando.
McIntyre não respondeu à nossa pergunta.
Em resposta à divulgação inicial do TechCrunch, o diretor de tecnologia da UStrive, Dwamian Mcleish, disse ao TechCrunch por e-mail na noite de quinta-feira que a exposição havia sido “remediada”.
O TechCrunch enviou e-mails de acompanhamento a Mcleish com mais perguntas sobre o incidente, incluindo: se a empresa planeja notificar seus usuários sobre a falha de segurança, se a empresa tem a capacidade de verificar se houve algum acesso indevido ou malicioso aos dados dos usuários e se a plataforma da empresa passou por uma auditoria de segurança e, em caso afirmativo, por quem.
O fundador do UStrive, Michael J. Carter, não fez comentários para este artigo.
