UStrive online mentorluk platformu, kullanıcılarının, özellikle çocukların, kişisel bilgilerini açığa çıkaran bir güvenlik açığını kapattı.
İfşa edilen veriler, UStrive kullanıcılarının tam isimleri, e-posta adresleri, telefon numaraları ve diğer kullanıcı tarafından sağlanan özel bilgileri içeriyordu ve bu bilgilere diğer oturum açmış kullanıcılar erişebiliyordu.
Önceden Strive for College olarak bilinen bu kar amacı gütmeyen kuruluş, lise ve üniversite öğrencilerine çevrimiçi mentorluk hizmeti sunuyor. Kuruluş, güvenlik olayını kullanıcılarına bildirip bildirmeyeceği hakkında bilgi vermedi.
Geçtiğimiz hafta, ismini vermek istemeyen bir kişi, TechCrunch’a UStrive’ın mentorluk platformundaki güvenlik açığını bildirdi. Siteye giriş yapıldığında ve kullanıcı profilleri gibi bölümlerde gezinti yapılırken ağ trafiğini inceleyen herkes, kullanıcıların kişisel bilgilerini tarayıcı araçlarıyla görüntüleyebiliyordu.
Söz konusu kişi, UStrive’ın, kullanıcı verilerine erişimi sağlayan savunmasız bir Amazon-hosted GraphQL uç noktasına bel bağladığını belirtti. Bazı kullanıcı kayıtları, öğrencilerin cinsiyeti ve doğum tarihi gibi daha fazla veri içeriyordu. Keşif sırasında en az 238.000 kullanıcı kaydı olduğu belirtildi. UStrive ise ana sayfasında 1.1 milyon öğrencinin UStrive mentoru için kayıtlı olduğunu ifade ediyor.
TechCrunch, yeni bir kullanıcı hesabı oluşturduktan sonra veri açığının doğruluğunu onayladı ve şirketin yöneticilerine e-posta ile bildirdi.
Virginia merkezli McIntyre Stein avukatlık firmasından John D. McIntyre, TechCrunch’a sağladığı bir yazıda, UStrive’ın “eski yazılım mühendislerinden biriyle dava sürecinde olduğunu” belirtti ve bu nedenle şirketin yanıt verme konusunda “biraz sınırlı” olduğunu ifade etti.
TechCrunch, McIntyre’a, o sırada şirketin hala çocukların özel ve kişisel bilgilerini açığa çıkaran bir güvenlik açığına sahip olduğunu ve UStrive’ın veri açığını düzeltmeyi planlayıp planlamadığı konusunda bilgi vermesini istedi.
McIntyre, sorularımıza yanıt vermedi.
TechCrunch’ın ilk iletişimine yanıt olarak, UStrive’ın teknoloji sorumlusu Dwamian Mcleish, e-posta ile bu açığın “giderildiğini” bildirdi.
TechCrunch, Mcleish’e olayla ilgili olarak, şirketin kullanıcılarına güvenlik açığını bildirme planı olup olmadığını, kullanıcı verilerine herhangi bir yetkisiz veya kötü niyetli erişim olup olmadığını kontrol etme yeteneğinin bulunup bulunmadığını ve şirket platformunun bir güvenlik denetiminden geçip geçmediğini sordu.
UStrive kurucusu Michael J. Carter, bu makale için yorumda bulunmadı.
Sizce kullanıcı verilerinin güvenliği için hangi önlemler alınmalıdır?
