newsence
來源篩選

Bug in student admissions website exposed children's personal information

Techcrunch

Ravenna Hub, which lets parents apply and track the status of their kids' applications across thousands of schools, allowed any logged-in user to access the personally identifiable data associated with any other user, including their children.

newsence

學生入學申請網站漏洞導致兒童個人資訊外洩

Techcrunch
9 天前

AI 生成摘要

Ravenna Hub 是一個讓家長申請並追蹤孩子在數千所學校申請狀態的網站,該網站允許任何登入用戶訪問與其他用戶(包括其子女)相關的個人識別數據。外洩的數據包括兒童的姓名、出生日期、地址、照片以及學校詳情。

學生入學網站漏洞暴露兒童個人資訊 | TechCrunch

圖片 圖片

主題

最新消息

人工智慧 (AI)

亞馬遜 (Amazon)

應用程式 (Apps)

生物技術與健康

氣候

雲端運算

商業

加密貨幣

企業

電動車 (EVs)

金融科技

募資

小工具 (Gadgets)

遊戲

Google

政府與政策

硬體

Instagram

裁員

媒體與娛樂

Meta

微軟 (Microsoft)

隱私

機器人

安全

社交

太空

新創公司

TikTok

交通運輸

創投

更多來自 TechCrunch

團隊成員

活動

Startup Battlefield

StrictlyVC

電子報

播客 (Podcasts)

影片

合作夥伴內容

TechCrunch 品牌工作室

Crunchboard

聯繫我們

圖片

學生入學網站漏洞暴露兒童個人資訊

一個供家庭用於幫孩子報名入學的學生入學網站,已修復了一項會暴露個人資訊的安全漏洞。

該網站名為 Ravenna Hub,家長可透過此平台向數千所學校提交申請並追蹤孩子的申請狀態。該網站先前允許任何登入用戶訪問與其他任何用戶(包括其子女)相關的個人識別資料。

暴露的數據包括兒童的姓名、出生日期、地址、照片以及學校詳情。家長的電子郵件地址和電話號碼,以及兒童兄弟姐妹的資訊也遭到洩露。

總部位於佛羅里達州的 VentureEd Solutions 負責開發和維護 Ravenna Hub。該公司在其網站上表示,其服務對象超過一百萬名學生,每年處理數十萬份申請。

TechCrunch 於週三首次得知該漏洞,並隨即通知了該公司。VentureEd 在當天修復了該漏洞,但 TechCrunch 直到確認漏洞已修復後才發布此報導。

VentureEd Solutions 執行長 Nick Laird 在給 TechCrunch 的電子郵件中表示,公司已成功重現該問題並解決了該漏洞。

Laird 表示公司正在調查此事件,但他不願承諾是否會通知用戶有關此安全疏漏的消息,且在 TechCrunch 詢問時,也未說明公司是否有能力檢查是否有其他用戶的數據遭到不當訪問。我們還詢問了 Ravenna Hub 是否曾由第三方進行安全檢查,如果有,是由誰進行的。Laird 未予回應,並拒絕進一步評論。

目前尚不清楚 VentureEd 和 Ravenna Hub 是否有人負責監督網絡安全。

該漏洞被稱為「不安全的直接對象引用」(Insecure Direct Object Reference,簡稱 IDOR),這是一種常見的安全缺陷,由於相關伺服器上的安全控制薄弱或不存在,導致用戶可以訪問存儲的資訊。

在實際操作中,該漏洞允許任何登入用戶透過瀏覽器網址列修改與學生檔案關聯的唯一編號,從而訪問另一名學生的申請文件,包括其個人資訊。

在 Ravenna Hub 的案例中,學生編號是連續的,這意味著任何用戶只要將個人檔案編號更改一個或多個數字,就有可能訪問另一名學生的數據。

當 TechCrunch 使用測試數據創建新帳戶時,我們發現網址包含一個七位數的數字。因此,在我們的記錄之前,有略多於 163 萬條記錄可供任何其他用戶訪問。

這是近期涉及簡單安全缺陷並影響兒童個人資訊的最新一起安全疏漏。今年 1 月,在線導師網站 UStrive 也暴露了其用戶的個人資訊,其中許多用戶仍在校就讀。

主題

圖片

安全編輯

Zack Whittaker 是 TechCrunch 的安全編輯。他也是每週網絡安全電子報《本週安全》(this week in security)的作者。

您可以透過 Signal 加密訊息聯繫他:zackwhittaker.1337。您也可以透過電子郵件聯繫他,或發送至 [email protected] 以驗證外聯資訊。

圖片

門票現正以年度最低價格發售。立即購買通行證,最高可省 680 美元。會見投資者,發現您的下一個投資組合公司。聆聽 250 多位科技領袖的演講,深入參與 200 多場會議,並探索 300 多家正在打造未來的新創公司。不要錯過這些一次性的優惠。

最受歡迎內容

Meta 的研究發現,家長監督對抑制青少年的強迫性社交媒體使用並無太大幫助

Meta 的研究發現,家長監督對抑制青少年的強迫性社交媒體使用並無太大幫助

Ricursive Intelligence 如何在 4 個月內以 40 億美元估值籌集 3.35 億美元

Ricursive Intelligence 如何在 4 個月內以 40 億美元估值籌集 3.35 億美元

在熱潮過後,部分 AI 專家認為 OpenClaw 並沒有那麼令人興奮

在熱潮過後,部分 AI 專家認為 OpenClaw 並沒有那麼令人興奮

OpenClaw 創始人 Peter Steinberger 加入 OpenAI

OpenClaw 創始人 Peter Steinberger 加入 OpenAI

好萊塢對新款 Seedance 2.0 影片生成器感到不滿

好萊塢對新款 Seedance 2.0 影片生成器感到不滿

電腦科學的大逃亡(以及學生們轉向了哪裡)

電腦科學的大逃亡(以及學生們轉向了哪裡)

一名史丹佛大學研究生創建了一種算法來幫助同學尋找真愛;現在,Date Drop 成了他新創公司的基礎

一名史丹佛大學研究生創建了一種算法來幫助同學尋找真愛;現在,Date Drop 成了他新創公司的基礎

圖片

© 2025 TechCrunch Media LLC.