Kişisel bilgilerin gizliliği, günümüzde büyük bir öneme sahip. Ravenna Hub isimli öğrenci kabul web sitesi, kullanıcıların çocuklarını okullara kaydetmelerine olanak tanırken, önemli bir güvenlik açığıyla karşı karşıya kalmıştı.
Kişisel Verilere Erişim Açığı
Ravenna Hub, ebeveynlerin çocuklarının başvurularının durumunu takip edebildiği çok sayıda okulla etkileşimde bulunmalarına olanak sağlıyor. Ancak site, herhangi bir giriş yapmış kullanıcının diğer kullanıcıların kişisel bilgilerine, yani çocukların adlarına, doğum tarihine, adreslerine, fotoğraflarına ve okul bilgilerine erişim sağlamasına izin veriyordu.
Açığa Çıkan Bilgiler
Açığa çıkan bilgiler arasında şunlar yer aldı:
- Çocukların isimleri
- Doğum tarihleri
- Adresleri
- Fotoğrafları
- Okul detayları
- Ebeveynlerin e-posta adresleri ve telefon numaraları
- Çocukların kardeşleri hakkında bilgiler
VentureEd Çözümü
Florida merkezli VentureEd Solutions, Ravenna Hub’ı geliştiren ve bakımını üstlenen firma, yılda yüz binlerce başvuru süreçlerinden sorumlu. TechCrunch, açığı öğrendiğinde firmanın bilgilendirildiğini ve sorunun aynı gün çözüldüğünü bildirdi.
Açığın Niteliği ve Riskler
Söz konusu güvenlik açığı, “güvensiz doğrudan nesne referansı” (IDOR) olarak bilinen yaygın bir güvenlik hatasıdır. Bu hata, zayıf veya yok sayılan güvenlik kontrolleri nedeniyle kullanıcıların saklanan bilgilere erişim sağlamasına yol açar. Uygulamada, herhangi bir giriş yapmış kullanıcının, web tarayıcısının adres çubuğunu değiştirerek bir başka öğrencinin başvuru dosyasına erişmesi mümkündü.
Ravenna Hub’da öğrenci numaraları sıralı bir şekilde verilmekteydi, bu da kullanıcıların başvuru numarasını değiştirmek suretiyle diğer öğrencilerin verilerine ulaşmalarına olanak sağlıyordu. Test verileriyle yeni bir hesap oluşturulduğunda, web adresinin yedi haneli bir numara içerdiği belirlendi. Bu durumda, kullanıcılara 1.63 milyon kayıt daha görünür durumdaydı.
Son dönemlerde kişisel bilgilerin güvenliğiyle ilgili yaşanan başkaca örnekler de mevcut. Ocak ayında online mentorluk hizmeti sunan UStrive, kullanıcılarının bilgilerini ifşa etmişti. Bu güvenlik açığı, çocukların kişisel bilgilerini tehdit eden basit güvenlik hataları arasında yer alıyor.
Bu tür olayların ardından, siber güvenlik denetimlerinin ne kadar etkin olduğu sorgulanıyor. Sizce Ravenna Hub gibi platformların güvenlik önlemleri yeterli mi?
