Una plataforma de admisiones escolares utilizada por miles de familias en Estados Unidos ha corregido una vulnerabilidad de seguridad que expuso información personal de estudiantes y sus padres. El sitio web Ravenna Hub, desarrollado por VentureEd Solutions de Florida, permite a los padres solicitar y rastrear el estado de las aplicaciones escolares de sus hijos en miles de instituciones educativas. La falla de seguridad permitía que cualquier usuario con sesión iniciada pudiera acceder a los datos personales de otros usuarios y sus hijos.
Según la compañía, Ravenna Hub procesa cientos de miles de solicitudes anuales y sirve a más de un millón de estudiantes. La vulnerabilidad fue identificada el miércoles pasado y reportada inmediatamente a VentureEd Solutions, que corrigió el problema el mismo día.
Datos personales de estudiantes quedaron expuestos
La información comprometida incluía nombres completos de niños, fechas de nacimiento, direcciones residenciales, fotografías y detalles sobre sus escuelas. Además, los datos de contacto de los padres, como direcciones de correo electrónico y números de teléfono, también estuvieron accesibles. La vulnerabilidad también expuso información sobre hermanos de los estudiantes registrados en la plataforma.
Nick Laird, director ejecutivo de VentureEd Solutions, confirmó que la empresa pudo replicar el problema y abordó la vulnerabilidad de seguridad. Sin embargo, Laird no se comprometió a notificar a los usuarios afectados sobre la brecha de seguridad ni indicó si la compañía tiene capacidad para verificar si hubo acceso indebido a los datos de otros usuarios.
Vulnerabilidad IDOR permitió acceso no autorizado
La falla de seguridad se conoce técnicamente como referencia directa insegura a objetos, o IDOR por sus siglas en inglés. Este tipo de vulnerabilidad permite a los usuarios acceder a información almacenada debido a controles de seguridad débiles o inexistentes en los servidores correspondientes.
En la práctica, el error permitía a cualquier usuario con sesión iniciada acceder al expediente de solicitud de otro estudiante modificando el número único asociado al perfil del estudiante en la barra de direcciones del navegador web. Los números de estudiante en Ravenna Hub son secuenciales, lo que significa que era posible acceder a los datos de cualquier estudiante cambiando el número de perfil por uno o más dígitos.
Más de 1.6 millones de registros potencialmente accesibles
Según pruebas realizadas con datos de prueba, la dirección web contenía un número de siete dígitos. Por lo tanto, había ligeramente más de 1.63 millones de registros anteriores que eran accesibles para cualquier otro usuario de la plataforma. No está claro quién, si alguien, supervisa la ciberseguridad en VentureEd y Ravenna Hub.
Cuando se le preguntó si Ravenna Hub había sido auditado por terceros en materia de seguridad, Laird declinó proporcionar esa información y se negó a hacer comentarios adicionales. La compañía tampoco reveló si planea realizar una auditoría completa para determinar el alcance del incidente.
Incidente refleja problemas recurrentes en plataformas educativas
Este caso representa la más reciente falla de seguridad que involucra defectos simples pero críticos que afectan la información personal de menores. En enero de este año, el sitio de mentoría en línea UStrive expuso información personal de sus usuarios, muchos de los cuales aún asisten a la escuela.
Las plataformas educativas manejan información especialmente sensible de menores de edad, lo que las convierte en objetivos críticos para la protección de datos personales. La facilidad con que se pueden explotar vulnerabilidades como IDOR plantea preocupaciones sobre los estándares de seguridad en el sector de tecnología educativa.
VentureEd Solutions continúa investigando el incidente, aunque la compañía no ha establecido un cronograma para completar su revisión interna. Tampoco se ha confirmado si las autoridades reguladoras de protección de datos han sido notificadas sobre la brecha, tal como exigen diversas leyes estatales de privacidad. Las familias que utilizan Ravenna Hub deberán esperar para conocer si sus datos fueron accedidos de manera indebida durante el período en que la vulnerabilidad estuvo activa.