Ravenna Hub’da IDOR xatosi bolalarning shaxsiy ma'lumotlarini ochib berdi

Florida shtatidagi VenturEd Solutions kompaniyasi tomonidan ishlab chiqilgan Ravenna Hub talaba qabul platformasida insecure direct object reference (IDOR) nomli xavfsizlik xatosi aniqlangan. Bu xato har qanday ro‘yxatdan o‘tgan foydalanuvchiga boshqa foydalanuvchilarning, shu jumladan bolalarning ismi, tug‘ilgan sanasi, manzili, fotosurati, maktabi, ota‑ona telefon raqamlari va email manzillari kabi shaxsiy ma'lumotlarini ko‘rish imkonini bergan.

Vaziyat qanday yuzaga keldi?

Ravenna Hub bir milliondan ortiq o‘quvchini ro‘yxatdan o‘tkazadi va har yili yuz minglab arizalarni qayta ishlaydi. Platformada har bir talaba profili 7‑raqamli identifikator bilan ifodalanadi. Bu identifikatorlar ketma‑ket (sequential) tarzda berilganligi sababli, foydalanuvchi brauzerning manzil satrida raqamni bir yoki bir necha birlikka o‘zgartirib, boshqa talabaning ma'lumotlariga erisha olgan.

IDOR xatosi nima?

IDOR – bu serverda saqlangan ma'lumotlarga foydalanuvchi tasdiqlash mexanizmi yetarlicha kuchli bo‘lmaganda, URL yoki parametrlar orqali to‘g‘ridan‑to‘g‘ri murojaat qilish imkonini beruvchi xavfsizlik nuqsonidir. Bu nuqsonlar odatda quyidagi holatlarda paydo bo‘ladi:

• Obyekt identifikatorlari (masalan, foydalanuvchi ID‑lari) taxmin qilinadigan yoki ketma‑ket berilgan bo‘lsa;
• Server tomonida obyektga kirish huquqlari tekshirilmasa;
• Foydalanuvchi sessiyasi va ma'lumotlar izolyatsiyasi yetarlicha amalga oshirilmasa.

VenturEd kompaniyasining javobi

TechCrunch xabar berganidan so‘ng, VenturEd xatoni bir kun ichida tuzatdi. Kompaniya vakili Nick Laird xatoni qayta yaratib, uni bartaraf etganini tasdiqladi, lekin foydalanuvchilarga bu haqda ogohlantirish yoki ma'lumotlar buzilishi bo‘lganligini tekshirish imkoniyati haqida aniq ma'lumot bermadi. Shuningdek, uchinchi tomon auditoriyasi tomonidan tekshiruv o'tkazilganmi, kim tomonidan amalga oshirilganligi haqida ham ma'lumot so‘ralgan, lekin javob olinmadi.

Nega bu muhim?

Bolalarning shaxsiy ma'lumotlari maxfiylik va xavfsizlik nuqtai nazaridan alohida himoya qilinishi lozim. Bunday ma'lumotlarning ochiq bo‘lishi quyidagi xavflarga olib kelishi mumkin:

• Identifikatsiya va identifikatsiyalash xurujlari;
• Firibgarlik va soxta ro‘yxatdan o‘tish;
• Bolalarga nisbatan onlayn tahdidlar.

Kiberxavfsizlik bo‘yicha tavsiyalar

Talaba qabul platformalarida quyidagi amaliyotlar joriy etilishi lozim:

• Obyekt identifikatorlarini tasodifiy va uzun qilib yaratish – ketma‑ket raqamlar o‘rniga UUID yoki hash‑lar ishlatilishi;
• Server tomonida qat’iy kirish nazorati – har bir so‘rovda foydalanuvchi huquqlari tekshirilishi;
• Uchinchi tomon auditlari – muntazam xavfsizlik tekshiruvlari va penetratsion testlar;
• Foydalanuvchilarga xabardorlik – ma'lumotlar buzilishi sodir bo‘lganda tezkor ogohlantirish tizimi.

Bu chora‑tadbirlar nafaqat bolalarning ma'lumotlarini himoya qiladi, balki platformaning ishonchliligini ham oshiradi. Kiberxavfsizlikka e'tibor berish, ayniqsa, yosh foydalanuvchilar bilan ishlaydigan xizmatlarda, majburiy bo‘lib qoladi.