El sitio de tutoría en línea UStrive ha resuelto una falla de seguridad que exponía la información private de sus usuarios, incluidos los niños.
Los datos expuestos incluían los nombres completos, direcciones de correo electrónico, números de teléfono y otra información no pública y proporcionada por los usuarios de UStrive, a la que podía acceder cualquier otro usuario que hubiera iniciado sesión.
La organización sin fines de lucro, anteriormente conocida como Try for Faculty, brinda tutoría en línea a estudiantes de secundaria y universitarios a través de su plataforma. La organización no dijo si planea informar a los usuarios sobre el incidente de seguridad.
La semana pasada, una persona que pidió no ser identificada alertó a TechCrunch sobre la falla de seguridad en la plataforma de tutoría de UStrive. Al examinar el tráfico de la pink mientras se inicia sesión y se navega por el sitio (por ejemplo, al ver los perfiles de los usuarios), cualquiera puede ver flujos de información private de los usuarios en las herramientas de su navegador.
La persona dijo que UStrive confiaba en un punto remaining GraphQL susceptible alojado en Amazon, un tipo de interfaz de base de datos de consulta, que permitía el acceso a una gran cantidad de datos de usuario almacenados en los servidores de UStrive. Algunos registros de usuarios contenían más datos que otros, incluida información proporcionada por el estudiante, como su sexo y fecha de nacimiento. La persona dijo que había al menos 238.000 registros de usuarios en el momento del descubrimiento. Mientras tanto, nos esforzamos por afirmar su pagina de inicio que más de “1,1 millones de estudiantes han optado por un mentor de UStrive”.
TechCrunch confirmó la exposición de los datos después de crear una nueva cuenta de usuario en UStrive y notificó a los ejecutivos de la compañía por correo electrónico el jueves.
John D. McIntyre, abogado del bufete de abogados McIntyre Stein de Virginia, que representa a UStrive, dijo en una carta enviada a TechCrunch más tarde el jueves que UStrive está “actualmente en un litigio con uno de sus antiguos ingenieros de software program” y, como tal, la empresa está “algo limitada en su capacidad de responder”.
TechCrunch le dijo a McIntyre que la compañía en ese momento todavía tenía una falla de seguridad que exponía la información privada y private de los niños, y le pidió a McIntyre que notificara a TechCrunch si UStrive planeaba arreglar la exposición de datos y, de ser así, cuándo.
McIntyre no respondió a nuestra consulta.
En respuesta a la comunicación inicial de TechCrunch, el director de tecnología de UStrive, Dwamian Mcleish, le dijo a TechCrunch por correo electrónico el jueves por la noche que la exposición había sido “remediada”.
TechCrunch envió correos electrónicos de seguimiento a Mcleish con más preguntas sobre el incidente, que incluyen: si la empresa planea notificar a sus usuarios sobre la falla de seguridad, si la empresa tiene la capacidad de verificar si hubo algún acceso indebido o malicioso a los datos de los usuarios y si la plataforma de la empresa se había sometido a una auditoría de seguridad y, de ser así, por quién.
El fundador de UStrive, Michael J. Carter, no hizo comentarios para este artículo.
