Uma falha no código de design do site NeedMyTranscript.com descoberta recentemente parece divulgar as informações pessoais de quase 100,000 de seus visitantes para qualquer pessoa que entre em um diretório interno específico do site. O diretório não deveria estar visível e foi descoberto pelos administradores do site após um Comunicado de imprensa do Washington Post.
A pesquisa do jornal sobre o assunto mostrou que todo tipo de informação pessoal pode ser encontrada no site – nomes, endereços, endereço de e-mail, números de segurança social, etc. e suas análises afirmam que isso pode ter sido um problema desde que o site começou em 2012. Além disso, não foi percebido pelos próprios administradores do site, mas foi apontado para o Washington Post por um visitante da plataforma que tentou enviar sua transcrição. Ele recebeu uma mensagem de erro em vez disso, contendo um link que leva ao diretório problemático. A visibilidade pública dessa informação parece contradizer a própria política de privacidade do site. 'A disponibilidade dos clientes’ informações pessoais parecem violar a própria política de privacidade da empresa, que disse que tinha no lugar “físico apropriado, procedimento eletrônico e gerencial para proteger e proteger as informações que coletamos online.', o artigo do Post continua.
'NeedMyTranscript.com’ é uma empresa especializada em coletar todos os tipos de registros educacionais de alunos e os libera para autoridades terceirizadas mediante solicitação – High Schools, agências, instituições educacionais, empregadores, etc. Possui registros de 50 dos Estados e inclui mais de 18,000 diferentes universidades. O objetivo do site é automatizar o processo de inscrição para essas instituições, agências, empregadores, etc.
O trabalho do site não era realmente armazenar todas as informações para os alunos, mas tirando-o deles e passando-o para quem possa estar preocupado com essa informação. Tudo o que os clientes do site precisavam fazer era preencher toda a informação online, conceder a sua publicação e pagar os custos de transporte dos documentos.
'Quando notificado pelo The Washington Post este mês, a empresa primeiro contestou que as informações pessoais dos usuários fossem acessíveis ao público, mas agora tentou corrigir o problema.', o comunicado do jornal também diz.
Após o reconhecimento feito por NeedMyTranscript.com uma divulgação foi postada em seu site oficial. A declaração diz que o site foi notificado sobre a falha e que foi corrigido dentro de algumas horas. Nenhum sinal de ações maliciosas foi encontrado e nenhum dado de pagamento ou número de cartão de crédito foi exposto, a declaração continua, já que todos os pagamentos pelos serviços estão sendo executados por uma instituição de pagamento terceirizada (PayPal).
Outro passo para proteger os dados de seus clientes foi a NeedMyTranscript.com contratar uma empresa especializada em segurança cibernética para investigar o caso mais a fundo.
→'Embora não acreditemos que você esteja em risco de dano como resultado desta vulnerabilidade, ainda recomendamos que todos os nossos clientes usem o bom senso ao não responder a e-mails ou outras perguntas feitas por pessoas que se passam por instituições financeiras ou outras entidades que buscam suas informações pessoais. Se você tiver algum motivo para acreditar que suas informações em nosso site foram acessadas e usadas indevidamente por terceiros, entre em contato conosco pelo e-mail privacy@needmytranscript.com o mais rápido possível.', A declaração do NeedMyTranscript.com conclui.
