ثغرة أمنية في منصة تعليمية أميركية تكشف بيانات آلاف المستخدمين بينهم أطفال

كشفت تقارير تقنية عن تعرض منصة UStrive الأميركية، المتخصصة في الإرشاد التعليمي عبر الإنترنت، لثغرة أمنية خطيرة أدت إلى كشف بيانات شخصية حساسة لمستخدميها، بينهم أطفال وطلاب مدارس ثانوية وجامعات.

وبحسب التفاصيل، سمح الخلل لأي مستخدم مسجّل الدخول بالوصول إلى بيانات مستخدمين آخرين، شملت الأسماء الكاملة، البريد الإلكتروني، أرقام الهواتف، إضافة إلى معلومات غير علنية قدّمها المستخدمون بأنفسهم.

وتعمل UStrive، وهي منظمة غير ربحية كانت تُعرف سابقاً باسم Strive for College، على تقديم خدمات الإرشاد الأكاديمي عبر منصة رقمية، وفق تقرير نشره موقع تك كرانش واطلعت عليه العربية Business.

كيف اكتُشفت الثغرة؟

بدأت القصة عندما نبّه شخص مجهول الهوية موقع تك كرانش إلى وجود خلل يسمح لأي مستخدم بمشاهدة تدفقات كاملة من بيانات الآخرين عبر أدوات المتصفح. وتبيّن أن المنصة كانت تعتمد على نقطة وصول GraphQL مستضافة على خدمات أمازون السحابية، لكنها كانت ضعيفة الحماية، ما أتاح الوصول إلى كميات كبيرة من البيانات.

وتضمنت بعض السجلات معلومات إضافية مثل الجنس وتاريخ الميلاد.

حجم البيانات المكشوفة

وفق المصدر، بلغ عدد السجلات المكشوفة نحو 238 ألف سجل عند اكتشاف الثغرة، بينما تشير UStrive إلى أن أكثر من 1.1 مليون طالب انضموا إلى برنامج الإرشاد الخاص بها.

ردود الفعل والإجراءات

قال محامي المنظمة إن UStrive منخرطة حالياً في نزاع قضائي مع أحد مهندسي البرمجيات السابقين، ما يحد من قدرتها على الرد. ورغم التحذيرات من استمرار تعرض بيانات الأطفال للخطر، لم تقدّم المنظمة تفاصيل إضافية حول موعد إصلاح الخلل.

لاحقاً، أكد المدير التقني للمنصة أن الثغرة تمت معالجتها.

تحذيرات متجددة

تسلّط هذه الحادثة الضوء على المخاطر الأمنية التي تواجه منصات التعليم الرقمي، خصوصاً تلك التي تتعامل مع بيانات قاصرين، وسط مطالب متزايدة بتشديد معايير الحماية والشفافية.