UStrive, ранее известная как Strive for College, сообщила, что уязвимость в GraphQL‑endpoint на инфраструктуре Amazon позволяла просматривать личные данные более 238 000 пользователей, среди которых была значительная часть школьников.
Что произошло
Исследователь, который сообщил об этом TechCrunch, показал, что будучи залогиненным, можно открыть любой профиль и увидеть в браузерных инструментах полные имена, e‑mail, телефон, пол, дату рождения и другие сведения, указанные учениками. По оценкам, в базе хранилось более 1,1 млн записей, но лишь часть из них была доступна через уязвимый запрос.
Почему это важно
UStrive участвует в судебном разбирательстве с бывшим инженером‑разработчиком, что затрудняет быстрый отклик. Технический директор Dwamian Mcleish сообщил, что компания уже устранила проблему, но пока не объявила, как будет уведомлять пострадавших и проверять возможные злоупотребления. Отсутствие такой информации повышает риск регуляторных санкций и потери доверия со стороны родителей и школ.
Что дальше
Пользователям стоит сменить пароли и следить за заявлениями UStrive о проведении независимого аудита. Для отрасли событие подчёркивает необходимость строгого контроля над API‑интерфейсами и обязательного уведомления при утечке данных детей.