Selon TechCrunch, une vulnérabilité de type IDOR (Insecure Direct Object Reference) a affecté le site d’admission scolaire Ravenna Hub (VenturEd Solutions, Floride), exposant les données personnelles d’élèves et de leurs familles. TechCrunch a découvert la faille mercredi, a alerté l’éditeur, qui l’a corrigée le jour même. La publication a été différée jusqu’à vérification du correctif.
• Nature de la faille: la modification de l’identifiant d’un profil élève directement dans l’URL permettait à tout utilisateur connecté d’accéder aux informations d’autres élèves. Les identifiants étaient séquentiels (numéros à 7 chiffres), facilitant l’énumération.
• Données exposées: noms, dates de naissance, adresses, photos, et informations scolaires des enfants; également adresses e‑mail et numéros de téléphone des parents, ainsi que des informations sur les frères et sœurs.
• Ampleur potentielle: VenturEd déclare servir plus d’un million d’élèves et traiter des centaines de milliers de candidatures par an. En créant un compte de test, TechCrunch a observé un identifiant à 7 chiffres dans l’URL, en déduisant que plus de 1,63 million d’enregistrements antérieurs au leur étaient potentiellement accessibles à d’autres utilisateurs.
• Réponse de l’éditeur: le PDG Nick Laird indique que l’équipe a reproduit et corrigé la vulnérabilité et qu’une enquête est en cours. Il n’a pas confirmé une notification des utilisateurs, ni précisé la capacité à vérifier d’éventuels accès indus, ni l’existence d’un audit tiers. Il n’est pas clair qui supervise la cybersécurité chez VenturEd/Ravenna Hub.
• Contexte: TechCrunch situe cet incident parmi d’autres lapses de sécurité touchant des données de mineurs, rappelant notamment l’exposition de données chez UStrive en janvier. Article de presse spécialisé visant à informer sur une vulnérabilité exposant des données et la réaction de l’éditeur.
🔗 Source originale : https://techcrunch.com/2026/02/19/bug-in-student-admissions-website-exposed-childrens-personal-information/