La plataforma de mentoría en línea UStrive ha corregido una falla de seguridad que expuso información personal de sus usuarios, incluidos menores de edad. El incidente permitió que cualquier usuario con sesión iniciada pudiera acceder a datos confidenciales de otros miembros de la plataforma, según reportó TechCrunch la semana pasada. La organización sin fines de lucro, anteriormente conocida como Strive for College, no ha confirmado si planea notificar a los usuarios afectados sobre esta brecha de seguridad.
Los datos expuestos incluían nombres completos, direcciones de correo electrónico, números de teléfono y otra información no pública proporcionada por los usuarios. Algunos registros contenían información adicional como género y fecha de nacimiento de estudiantes, según indicó una fuente anónima que descubrió la vulnerabilidad.
Detalles de la exposición de datos en UStrive
La falla de seguridad se originó en un punto de acceso GraphQL alojado en Amazon que permitía consultar información almacenada en los servidores de UStrive. Un individuo que prefirió mantener el anonimato alertó a TechCrunch sobre la vulnerabilidad después de examinar el tráfico de red mientras navegaba por el sitio con sesión iniciada. Al utilizar herramientas de navegador estándar, era posible visualizar flujos de información personal de los usuarios.
La persona que descubrió el problema identificó al menos 238,000 registros de usuarios expuestos al momento del hallazgo. Sin embargo, UStrive afirma en su página principal que más de 1.1 millones de estudiantes se han registrado para recibir mentoría a través de su plataforma. TechCrunch confirmó la exposición de datos después de crear una cuenta de usuario nueva y notificó a los ejecutivos de la compañía por correo electrónico el jueves pasado.
Respuesta limitada de la organización de mentoría
John D. McIntyre, abogado del bufete McIntyre Stein de Virginia que representa a UStrive, informó en una carta a TechCrunch que la organización “actualmente está en litigio con uno de sus ex ingenieros de software”. Según el abogado, esta situación legal limita la capacidad de la compañía para responder a consultas sobre el incidente de seguridad. McIntyre no respondió a preguntas adicionales sobre si UStrive planeaba corregir la exposición de datos y en qué plazo.
El director de tecnología de UStrive, Dwamian Mcleish, confirmó posteriormente por correo electrónico que la exposición había sido “remediada”. No obstante, la organización no ha proporcionado información adicional sobre el alcance del incidente ni sobre las medidas de seguridad implementadas.
Preguntas sin respuesta sobre el incidente
TechCrunch envió consultas de seguimiento a Mcleish solicitando detalles sobre varios aspectos del incidente. Las preguntas incluían si la compañía notificaría a los usuarios afectados, si tiene capacidad para verificar accesos indebidos o maliciosos a los datos, y si la plataforma había sido sometida a auditorías de seguridad. Además, se solicitó información sobre quién habría realizado dichas auditorías en caso de existir.
Michael J. Carter, fundador de UStrive, declinó hacer comentarios sobre el incidente. La organización tampoco ha aclarado si planea realizar una auditoría independiente de sus sistemas de seguridad tras este evento.
La plataforma de mentoría continuará operando mientras permanecen abiertas preguntas sobre la extensión del incidente y las medidas preventivas futuras. La falta de transparencia sobre la notificación a usuarios y la ausencia de información sobre posibles accesos no autorizados a los datos personales de menores mantiene incertidumbre sobre el manejo del incidente. Será importante observar si UStrive emite un comunicado oficial o si enfrenta presiones regulatorias para divulgar más detalles sobre la brecha de seguridad y su impacto en los usuarios registrados.