Uma grave vulnerabilidade no site de admissões estudantis Ravenna Hub expôs informações pessoais sensíveis de milhares de crianças e suas famílias. A falha permitia que qualquer usuário autenticado no sistema visualizasse dados confidenciais de outros perfis, incluindo nomes, fotos, datas de nascimento e endereços residenciais, simplesmente alterando números na barra de endereços do navegador.
O problema afetou a plataforma gerenciada pela VentureEd Solutions, que atende mais de um milhão de estudantes e processa centenas de milhares de inscrições anualmente. Além das informações das crianças, detalhes de contato dos pais e dados sobre irmãos também ficaram vulneráveis. A exposição de dados de menores de idade é considerada uma das violações de privacidade mais críticas, dado o potencial de uso indevido dessas informações a longo prazo.
A natureza técnica da falha: O que é IDOR?
A vulnerabilidade identificada é tecnicamente conhecida como Insecure Direct Object Reference (IDOR). Esse erro ocorre quando um sistema não verifica adequadamente se o usuário tem permissão para acessar um recurso específico. No caso do Ravenna Hub, os perfis dos alunos eram identificados por números sequenciais. Isso significa que um usuário poderia acessar o registro de outro estudante apenas somando ou subtraindo um dígito na URL da página.
Testes realizados indicaram que a sequência de registros ultrapassava 1,6 milhão de perfis, todos potencialmente acessíveis devido à ausência de controles de segurança robustos. Esse tipo de falha é comum, mas extremamente perigoso em bancos de dados que armazenam informações de populações vulneráveis.
Resposta da empresa e falta de transparência
A VentureEd Solutions corrigiu o erro no mesmo dia em que foi alertada sobre a brecha. O CEO da companhia confirmou que a equipe técnica conseguiu replicar a falha e aplicar a correção necessária. Em comunicado oficial, o executivo afirmou:
"Conseguimos replicar o problema e abordamos a vulnerabilidade."
Entretanto, a empresa evitou se comprometer com a notificação direta aos usuários afetados. Quando questionada se houve acesso indevido por terceiros antes da correção ou se a plataforma passa por auditorias de segurança externas, a organização preferiu não comentar. Este cenário levanta dúvidas sobre a supervisão de cibersegurança em ferramentas educacionais que lidam com volumes massivos de dados privados.
Este incidente é o mais recente em uma série de falhas de segurança que atingem o setor educacional. A proteção de dados de estudantes continua sendo um desafio crítico, especialmente em sistemas que utilizam arquiteturas de segurança simplificadas para gerenciar informações complexas e sensíveis.
Deixe um comentário