في حادثة هي الأحدث من نوعها، كُشف النقاب عن خلل أمني خطير في منصة إلكترونية مخصصة لتسجيل الطلاب، مما عرض البيانات الشخصية لآلاف الأطفال للخطر.

الموقع، المعروف باسم "Ravenna Hub"، يُستخدم من قبل العائلات في جميع أنحاء الولايات المتحدة لتقديم طلبات الالتحاق بالمدارس لأطفالهم ومتابعة حالتها. وقد اكتُشف أن الموقع كان يعاني من ثغرة أمنية تسمح لأي مستخدم مسجل بالدخول إلى البيانات الشخصية لأي مستخدم آخر، بما في ذلك بيانات الأطفال.

ما هي البيانات التي تم كشفها؟

تكشف التحقيقات أن البيانات المكشوفة كانت شديدة الحساسية وتشمل:

· أسماء الأطفال وتواريخ ميلادهم.

· عناوين منازلهم وصورهم الشخصية.

· تفاصيل حول المدارس الملتحقين بها.

· عناوين البريد الإلكتروني وأرقام هواتف الآباء والأمهات.

· معلومات عن إخوة الأطفال المسجلين.

كيف حدث الاختراق؟

تعود المشكلة إلى نوع شائع من الثغرات الأمنية يُعرف باسم "الإحالة المباشرة الغير آمنة للكائنات" (IDOR). هذا الخلل يسمح للمستخدمين بالوصول إلى معلومات مخزنة بسبب ضعف أو انعدام إجراءات التحكم الأمني على الخوادم المعنية.

عملياً، كان أي شخص مسجل على المنصة قادراً على الدخول إلى ملف طلب طالب آخر، بمجرد تعديل الرقم الفريد المرتبط بملف الطالب في شريط عنوان المتصفح. والأخطر من ذلك، أن الأرقام التعريفية للطلاب في "Ravenna Hub" كانت تسلسلية، مما يعني أنه كان من السهل جداً التجول بين ملفات الطلاب بمجرد زيادة أو تقليل الرقم برقم واحد فقط.

عندما أنشأ موقع TechCrunch حساباً تجريبياً، تبيّن أن عنوان الويب يحتوي على رقم مكون من سبعة أرقام. هذا يشير إلى وجود أكثر من 1.63 مليون سجل سابق كانت متاحة لأي مستخدم آخر.

استجابة الشركة وتقصيرها

شركة "VentureEd Solutions" ومقرها فلوريدا، هي المطوّرة والقائمة على منصة Ravenna Hub. تدّعي الشركة على موقعها أنها تخدم أكثر من مليون طالب وتعالج مئات الآلاف من الطلبات سنوياً.

بعد أن أبلغهم موقع TechCrunch بهذه الثغرة يوم الأربعاء الماضي، قامت الشركة بإصلاح الخلل في نفس اليوم. ومع ذلك، يبدو أن الموقف تجاه الشفافية الأمنية لم يكن بمستوى الحدث.

نيك ليرد، الرئيس التنفيذي للشركة، أكد في رسالة بريد إلكتروني أنهم تمكنوا من تكرار المشكلة وعالجوا الثغرة. لكنه رفض الالتزام بإخطار المستخدمين بهذا الخرق الأمني، كما رفض الإجابة عن سؤال حول ما إذا كانت الشركة لديها القدرة على التحقق مما إذا كانت هناك أية محاولات وصول غير مصرح بها لبيانات المستخدمين.

رفض ليرد أيضاً الكشف عما إذا كانت أمن المنصة قد خضعت لفحص جهة خارجية، مكتفياً بالقول إنه لن يعلق أكثر من ذلك. هذا الصمت يثير تساؤلات كبيرة حول من يشرف على الأمن السيبراني للشركة والمنصة، إن وجد.

هذا الحادث يسلط الضوء مجدداً على هشاشة أمن المعلومات في المنصات التي تتعامل مع بيانات الأطفال، ويؤكد على ضرورة وجود معايير أكثر صرامة وشفافية لحماية خصوصية الصغار في العالم الرقمي.

هذه الحادثة هي الأحدث في سلسلة من الإخفاقات الأمنية البسيطة التي تطال المعلومات الشخصية للأطفال، حيث كانت منصة "UStrive" للتوجيه الإلكتروني قد عانت من خرق مماثل في يناير الماضي.