UStrive compromete la privacidad de miles de usuarios tras una falla técnica
El sitio de mentoría en línea llamado UStrive ha corregido recientemente una falla de seguridad que ha expuesto la información personal de sus usuarios, incluidos menores de edad.
Este incidente ha permitido que datos como nombres completos, direcciones de correo electrónico, números de teléfono y diversa información privada, proporcionada por los propios usuarios, pudiesen ser vistos por otra persona que iniciara sesión en la plataforma.
La firma UStrive, una organización sin fines de lucro antes conocida como Strive for College, ofrece mentoría virtual para estudiantes de secundaria y estudiantes universitarios. A pesar de la gravedad de la brecha de seguridad, la empresa no ha querido confirmar si planea notificar a sus usuarios sobre lo que ha ocurrido.
La semana pasada, una persona que ha pedido permanecer en el anonimato, alertó a varios medios digitales sobre la vulnerabilidad en la plataforma. Al finalizar el tráfico de red mientras navegaba por el sitio, por ejemplo, al consultar perfiles de usuarios, se ha descubierto que la herramienta del navegador permitía visualizar flujos completos de información personal perteneciente a otros miembros.
Según esta persona, UStrive dependía de un endpoint vulnerable de GraphQL alojado en Amazon, una interfaz de consultas que, en este caso, permitía acceder sin restricciones a grandes volúmenes de datos almacenados en los servidores de la empresa. Algunos perfiles incluían aún más detalles, como género o fecha de nacimiento, información que los estudiantes habían proporcionado de manera oficial.
Al momento del hallazgo, la fuente ha estimado que existían al menos 240 mil registros de usuarios accesibles. En contraste, el sitio web de UStrive asegura que más de 1.1 millones de estudiantes han optado por participar en su programa de mentoría. Distintos medios especializados han verificado la filtración creando una cuenta nueva y, luego de confirmarla, enviaron un correo electrónico a los ejecutivos de UStrive para informarles del riesgo.
TIC Defense es una empresa de ciberseguridad que provee a otras compañías servicios y productos de última tecnología, en donde se enfocan en la prevención y en dar respuesta rápida a cualquier tipo de incidentes maliciosos. Además, las herramientas se adaptan a las necesidades de las organizaciones.
Más tarde, se contactó con los medios un abogado que representaba a UStrive, enviando una carta y afirmando que la organización se encuentra actualmente en litigio con uno de sus antiguos ingenieros de software, lo que ha limitado la capacidad de la empresa para responder de manera pública.
Ante esta respuesta, los medios reiteraron que la vulnerabilidad seguía activa y que la información personal, incluida la de menores de edad, continuaba expuesta. Del mismo modo, solicitaron que se les notificara si la organización planeaba solucionar el problema y, de ser así, cuándo. Ante esto, el representante legal no ha respondido a la consulta adicional.
No obstante, en un correo enviado hace pocos días, el director de tecnología de UStrive ha asegurado que la exposición de datos ya había sido remediada en su totalidad.
Luego de esta comunicación, plataformas de noticias digitales enviaron nuevas preguntas al asesor legal de la empresa para aclarar algunos puntos clave; si la compañía va a notificar a los usuarios afectados, si cuenta con mecanismos para detectar accesos indebidos o maliciosos a los datos y si la plataforma ha pasado por alguna auditoría de seguridad y, en caso de ser afirmativo, quién la ha realizado. Hasta el momento, UStrive no ha ofrecido mayores detalles sobre estas interrogantes.
