El abogado y profesor de derecho en Stanford, Jonathan Mayer, fue invitado a dar un curso en la plataforma Coursera, el sitio de Internet que ofrece cursos gratuitos a nivel licenciatura. Pero al ser también un computólogo, Mayer no resistió analizar y revisar la plataforma; encontró algunos fallos que pueden ser explotados para comprometer la privacidad de los estudiantes como:

• Hacer una lista completa de todos los estudiantes (nombre y dirección de correo).
• Revelar información sobre los cursos que toman en sitios aleatorios.
• Deshacer la protección (supuestamente) proporcionada por el uso de identificadores (ID) externos e internos.

Para probar la potencial explotación de sus hallazgos, creó una prueba de concepto del código para las primeras 2 vulnerabilidades. Ha obtenido mil nombres de usuario y correos electrónicos de la base de datos de estudiantes, para extraer información de los usuarios implementó una página de prueba que los recupera.  

El último fallo tiene que ver con la forma en que los ID son hashes facilmente reversibles de cualquier número pequeño y, sabiendo esto, es trivial elaborar un diccionario de ID internos y externos, indicó Mayer. Pero este problema en partícular puede ser facilmente resuelto al remover los ID externos en conjunto, ya que su uso no tiene ningún beneficio de seguridad o privacidad, señaló.

Mayer notificó a Coursera sobre los fallos y la compañía ha resuelto parcialmente el primero pero todavía tiene que solucionar el segundo. Afortunadamente, las soluciones deberían ser sencillas de implementar.