На платформе Ravenna Hub, обслуживаемой компанией VenturEd Solutions, обнаружена уязвимость типа insecure direct object reference (IDOR). Пользователи могли менять номер профиля в адресной строке и получать доступ к данным любого ученика. Уязвимость раскрывала имена, даты рождения, адреса, фотографии детей, а также электронную почту и телефон родителей, сведения о братьях и сестрах.
Что случилось
Веб‑адреса профилей содержали последовательный семизначный идентификатор; изменив его, любой залогиненный пользователь мог открыть до 1,63 млн записей. Компания получила сообщение от TechCrunch в среду, воспроизвела проблему и устранила её в тот же день.
Почему это важно
Уязвимость раскрыла персональные данные более чем 1 млн детей, обслуживаемых сервисом, что ставит под вопрос практики кибербезопасности в образовательных SaaS‑решениях. Не ясно, существует ли в VenturEd отдельный отдел кибербезопасности и проводились ли независимые аудиты.
Что дальше
VenturEd объявила, что расследует инцидент, но отказалась комментировать уведомление пользователей и проверку доступа к данным. Инцидент усиливает давление на EdTech‑компании по внедрению строгих контролей доступа и регулярных внешних проверок.