UStrive 的安全漏洞暴露了使用者的個人資料，包括兒童

線上導師網站 UStrive 解決了一次安全漏洞，該漏洞暴露了其用戶（包括兒童）的個人資訊。

這些外洩資料包括 UStrive 用戶的全名、電子郵件地址、電話號碼，以及其他非公開且用戶提供的資訊，這些資訊可對其他登入用戶存取。

該非營利組織前身為 Strive for College，透過平台為高中及大學生提供線上導師輔導。該組織未透露是否計劃通知用戶此安全事件。

上週，一位不願具名的人向 TechCrunch 通報了 UStrive 導師平台的安全漏洞。只要在登入並瀏覽網站時查看網路流量——例如查看用戶資料——任何人都能在瀏覽器工具中看到用戶的個人資訊串流。

該人士表示，UStrive 依賴一個脆弱的 Amazon 主機 GraphQL 端點——一種查詢資料庫介面——允許存取儲存在 UStrive 伺服器上的大量用戶資料。有些使用者紀錄包含比其他資料更多的資料，包括學生提供的資訊，如性別和出生日期。該人士表示，發現時至少有238,000筆用戶紀錄。UStrive 在其首頁上表示，超過「已有 110 萬名學生選擇擔任 UStrive 導師」。

TechCrunch 在 UStrive 創建新用戶帳號後證實了資料外洩，並於週四以電子郵件通知公司高層。

維吉尼亞州律師事務所McIntyre Stein的律師John D. McIntyre（代表UStrive）在週四稍晚向TechCrunch提供的一封信中表示，UStrive「目前正與其前軟體工程師之一進行訴訟」，因此公司「在回應能力上受到一定限制」。

TechCrunch 告訴 McIntyre，當時公司仍存在安全漏洞，導致兒童的私人及個人資訊外洩，並要求 McIntyre 通知 TechCrunch UStrive 是否計劃修復資料外洩，若有，請告知何時。

麥金太爾未回應我們的詢問。

針對 TechCrunch 最初的聯繫，UStrive 技術長 Dwamian Mcleish 於週四晚間透過電子郵件告訴 TechCrunch，該漏洞已被「修復」。

TechCrunch 向 McLeish 發送了更多關於此事件的後續電子郵件，包括：公司是否計劃通知用戶安全漏洞、是否有能力檢查是否有不當或惡意存取用戶資料，以及公司平台是否接受安全審核，若有，審計者為誰。

UStrive 創辦人 Michael J. Carter 未對本文發表評論。