Ravenna Hub adlı öğrenci başvuru platformunda tespit edilen bir güvenlik açığı, sisteme kayıtlı çocukların kişisel bilgilerinin diğer kullanıcılar tarafından görüntülenebilmesine yol açtı. Şirketin bildiriminin ardından açık aynı gün kapatıldı; rapor doğrulama için yayın bekletildi.
Ne oldu?
Platform, ailelerin çocuklarını binlerce okula başvurarak takip etmelerine imkan veriyor. Ancak sisteme giriş yapan herhangi bir kullanıcının, başka bir kullanıcının hesabına bağlı öğrenci verilerine erişmesine izin veren bir zaafiyet vardı. Açığa çıkan bilgiler arasında çocukların adları, doğum tarihleri, adresleri, fotoğrafları ve okul bilgileri yer alıyordu. Ebeveynlerin e-posta adresleri ve telefon numaraları ile çocukların kardeş bilgileri de erişilebilir durumdaydı.
Açığın teknik niteliği
Bu tür zaafiyetlere IDOR (insecure direct object reference) deniyor. Sistem, kullanıcıların veriye doğrudan erişimini kontrol eden yeterli güvenlik mekanizmalarını uygulamadığı için, bir kullanıcının URL’deki öğrenci kimliğini değiştirerek başka bir öğrencinin bilgilerine ulaşmasına olanak tanıyordu. Ravenna Hub’da öğrenci numaraları ardışık olarak atanmıştı; bu da bir profil numarasındaki birkaç rakamın değiştirilmesiyle kolayca başka kayıtlara ulaşılabilmesi anlamına geliyordu.
Erişilebilir kayıt sayısı
Test hesabı oluşturulduğunda URL’de yedi haneli bir numara görüldü. Bu da test hesabından önce yaklaşık 1.63 milyon kaydın diğer kullanıcılar tarafından teorik olarak erişilebilir olduğunu gösteriyordu.
Şirketin yanıtı ve soru işaretleri
Sitenin geliştiricisi olan VentureEd Solutions bildirimi aldıktan sonra açığı aynı gün giderdiğini bildirdi. Ancak şirket yetkilileri, kullanıcıların bilgilendirilip bilgilendirilmeyeceği ve sistemde yetkisiz erişim olup olmadığının nasıl tespit edileceği konusunda net bir taahhütte bulunmadı. Ayrıca üçüncü taraf bir güvenlik denetimi yapılıp yapılmadığına dair bilgi paylaşılmadı.
Neden önemli?
Çocuklara ait kişisel verilerin korunması hem hukuki hem de etik açıdan önceliklidir. Bu olay, basit yapılandırma ve erişim kontrolü hatalarının bile milyonlarca öğrencinin verisini riske atabileceğini gösteriyor. Benzer zaafiyetler daha önce de çocukların kişisel verilerinin açığa çıkmasına yol açmıştı; bu nedenle okul kayıt sistemleri ve eğitim teknolojileri sağlayıcılarının güvenlik uygulamalarını güçlendirmesi gerekiyor.
Öneriler
- Kurumlar, kritik hizmetler için bağımsız güvenlik denetimleri yaptırmalı ve bulunabilecek zaafiyetleri kamuoyunu etkilemeden hızlıca kapatmalı.
- Ebeveynler ve kullanıcılar, hesap güvenliği için güçlü şifreler ve mümkünse iki faktörlü kimlik doğrulama kullanmalı; olağandışı etkinlikleri derhal bildirmeli.
- Hizmet sağlayıcılar, veri ihlali durumunda etkilenenleri bilgilendirme ve şeffaf raporlama taahhüdünde bulunmalı.
Bu olay, eğitim teknolojileri alanında güvenliğin sürekli ve proaktif olarak ele alınması gerektiğini bir kez daha ortaya koyuyor.
-
-
-
-
