163萬學生資料一鍵可看 - 美國教育平台重大資安漏洞揭示什麼？

只需要改變網址列中的一個數字，就能查看163萬筆學生記錄。美國教育申請平台Ravenna Hub爆發的這起資安事件，暴露了教育科技蓬勃發展背後的巨大安全漏洞。

漏洞如何發生

VentureEd Solutions開發的Ravenna Hub是美國主要的學校申請平台，服務超過100萬名學生，每年處理數十萬份申請。然而，這個看似專業的系統卻存在著令人震驚的基礎安全缺陷。

任何登入用戶只需修改瀏覽器網址列中的學生編號，就能存取其他學生的完整個人資料，包括姓名、生日、地址、照片、就讀學校，甚至是家長聯絡方式和兄弟姊妹資訊。更糟糕的是，由於學生編號採用連續數字，駭客可以輕易「掃描」整個資料庫。

TechCrunch週三發現此漏洞並通報後，VentureEd執行長尼克·萊爾德當天就修復了問題。但公司拒絕透露是否會通知用戶，也不願說明是否有能力檢查是否曾發生不當存取。

教育科技的安全盲點

這起事件最令人擔憂的不是漏洞本身，而是其「低技術門檻」。這種被稱為「IDOR（不安全直接物件參考）」的漏洞屬於基礎資安缺陷，不需要高深的駭客技術，任何人都能輕易利用。

然而，就是這樣一個基本的安全問題，在一個服務百萬用戶的平台上竟然被忽視了。這反映出教育科技產業在快速發展過程中，往往將功能開發置於安全考量之上。

對比亞洲市場，類似的教育平台如中國的「學信網」、台灣的「大學甄選入學委員會」系統等，都處理著大量敏感的學生資料。這些平台的資安防護是否足夠？當教育數位化成為趨勢，我們是否已經做好了安全準備？

監管真空的危險

更值得關注的是，VentureEd Solutions內部竟然沒有明確的網路安全負責人。這凸顯了教育科技領域監管制度的不完善。

在美國，教育科技公司雖然受到《家庭教育權利和隱私法》(FERPA)等法規約束，但執行力度和監督機制仍有待加強。相比之下，歐盟的GDPR對個資保護有更嚴格的要求，違規企業面臨高額罰款。

亞洲各國在這方面的表現如何？中國大陸有《網路安全法》和《個人信息保護法》，台灣有《個人資料保護法》，但這些法規對教育科技平台的約束力和執行效果仍需檢視。

家長的兩難選擇

對家長而言，這起事件帶來了深刻的矛盾。數位化教育平台確實帶來便利，申請多所學校不再需要重複填寫資料，追蹤申請進度也更加透明。

但當孩子的個資安全成為代價時，便利性還值得追求嗎？特別是在亞洲文化中，家庭隱私向來被視為重要價值。家長們開始質疑：為了教育的數位化，我們願意承擔多大的風險？

產業責任與信任重建

今年1月，線上輔導平台UStrive也發生類似的學生個資外洩事件，顯示這並非個案。教育科技產業似乎存在系統性的安全意識不足問題。

問題的根源可能在於，許多教育科技新創公司專注於快速增長和功能創新，將資安視為「成本」而非「投資」。直到發生重大事件，才意識到信任一旦失去，重建的成本將更加昂貴。