招生平台漏洞曝光160万学生数据

根据TechCrunch周三发布的调查，一个广泛使用的学生招生平台修复了一个安全漏洞，该漏洞使超过160万儿童及其家庭的个人数据可被任何登录用户访问。

Ravenna Hub允许家长申请并跟踪数千所私立和独立K-12学校的入学情况，该平台被发现存在不安全的直接对象引用（IDOR）漏洞——这是一个基本的访问控制缺陷，允许任何经过身份验证的用户仅通过更改网络浏览器地址栏中的数字即可查看其他学生的记录。findarticles+1

泄露的数据包括儿童的姓名、出生日期、家庭住址、照片和学校信息。家长的电子邮件地址和电话号码，以及同一家庭中兄弟姐妹的信息也可被访问。由于Ravenna Hub分配的是连续的学生档案编号，任何人都可以通过在URL中递增或递减这个七位数的标识符来循环浏览记录。tech.yahoo+2

当TechCrunch创建一个测试账户时，其档案编号显示在此之前已创建了略多于163万条记录——所有这些记录都可以被任何其他用户访问。

总部位于佛罗里达州的VenturEd Solutions开发并维护着Ravenna Hub平台，该平台服务超过一百万名学生，每年处理数十万份申请。VenturEd于2024年10月从Education Brands更名而来，其背后投资方包括Insight Partners和Genstar Capital。ravennasolutions+1

首席执行官Nick Laird在给TechCrunch的邮件中表示，公司在收到报告的当天就复现了该问题并修复了漏洞。然而，Laird拒绝承诺通知受影响的用户，也不愿说明公司是否能够确定是否发生了未经授权的访问，同时拒绝透露Ravenna Hub的安全性是否经过第三方审计。

目前尚不清楚VenturEd和Ravenna Hub的网络安全由谁负责监管。

这一事件进一步增加了涉及儿童数据处理平台的基本安全故障清单。今年1月，在线辅导网站UStrive修复了一个类似的漏洞，该漏洞通过配置错误的数据库端点暴露了至少238,000条用户记录，其中包括未成年人的记录。该组织同样拒绝透露是否会通知用户。

根据所涉及记录的性质，像Ravenna Hub这样的疏漏可能会触发《家庭教育权利和隐私法案》规定的义务，对于13岁以下的用户，还可能涉及《儿童在线隐私保护法案》。美国联邦贸易委员会曾警告称，未成年人的身份信息可能在数年内被利用而不被发现，因为儿童很少接受常规的信用监控。