Exklusiv: Das Edtech-Startup gibt Daten von über 50.000 Schulkindern und Regierungsbeamten preis
Veröffentlicht: 2020-03-14Die Daten umfassen Krankenakten, Fotos, Passscans und mehr von 50.000 Schulkindern
Die Datenbank wurde zuerst von dem in Großbritannien ansässigen Cybersicherheitsforscher Roni Suchowski entdeckt
Inmitten der Coronavirus-Quarantänen senden viele Schulen Unterricht über Online-Bildungsplattformen
In einem weiteren Vorfall, der darauf hindeutet, dass indische Unternehmen den Datenschutz nicht ernst genug nehmen, hat die auf Gurugram basierende Online-Schulverwaltungsplattform Skolaro Daten von über 50.000 Schülern offengelegt, die an rund 100 indischen Schulen studieren, ihre Eltern sowie Lehrer, nachdem sie ihre Datenbank gespeichert hatten ungesicherte Server.
Die Datenbank wurde zuerst von einem in Großbritannien ansässigen Cybersicherheitsforscher Roni Suchowski entdeckt, der sagte, dass sie auch über 130.000 Benutzer-IDs und Passwörter enthält, die ungeschützt in der Datenbank liegen. Jeder dieser Benutzernamen gehört einem aktuellen oder ehemaligen Benutzer der Skolaro-Plattform, und Suchowski sagte, dass jeder mit Grundkenntnissen in der Webentwicklung problemlos einen Blick in die Datenbank werfen kann.
Inc42 kann bestätigen, dass die Datenbank unter anderem Benutzernamen, Passwörter, Alter, Blutgruppe, Religion, Adresse, Zulassungsnummer, Schulname, Geburtsdatum, Noten, Profilbild enthält. Es enthält auch die Krankengeschichte einiger Studenten, was es für Identitätsdiebstahl und andere Straftaten reif macht.
„Hunderte von Fotos eines einzelnen Schülers sind in der Datenbank verfügbar. Ich habe stichprobenartig nachgesehen und fast jeden Tag ein Bild von einem Kind gesehen, das sich in einem Kindergarten einer Aktivität hingab“, sagte Suchowski. Darüber hinaus wurden auch persönliche Daten von Lehrern an Skolaro-Partnerschulen, einschließlich ihrer Gehälter, offengelegt.
Der Forscher teilte uns mit, dass er von einem Cybersicherheitsdienst, der das Internet scannt, um Bedrohungen oder Schwachstellen in Netzwerken und Servern zu lokalisieren, auf den ungesicherten Server von Skolaro aufmerksam gemacht wurde. Er erklärte auch, dass einige Datenbanken während der Migration ohne Passwort bleiben.
Daten von Regierungsbeamten offengelegt
Inc42 hat die ungesicherte Datenbank durch den Cybersicherheitsexperten Rajshehkar Rajaharia unabhängig verifiziert. Rajaharia sagte, dass die Größe der Datenbank etwa 1,3 GB beträgt. Neben Schülern waren auch personenbezogene Daten von Eltern und Lehrern, die auf Skolaro registriert waren, in der Datenbank verfügbar.
DataLabs, die Forschungsabteilung von Inc42, konnte auch erfolgreich Daten herunterladen, die allen Benutzern auf dem Server gehörten. Wir konnten leicht Informationen wie Namen, Benutzer-IDs, Passwörter, E-Mail-IDs, Telefonnummern, Berufe, Jahreseinkommen, Bildungsabschlüsse und andere Details finden. Darüber hinaus wurden Dokumente wie Wählerausweise, Aadhaar-Karten, Pässe, Geburtsurkunden und Wohnsitznachweise ebenfalls ungeschützt in der Datenbank belassen. DataLabs hatte die Daten nur zur Bestätigung der Datenbank heruntergeladen.
Die durchgesickerten Daten enthalten Details ehemaliger Regierungsbeamter, einschließlich derjenigen, die bis letztes Jahr in einigen der höchsten Ämter der Zentralregierung gearbeitet haben. Aus Gründen der verantwortungsvollen Berichterstattung kann Inc42 diese Beamten nicht benennen.
Suchowski sagte, dass neben Angaben zu Indern auch rund 90 gescannte Kopien von Pässen in der Datenbank verfügbar seien, die Einwohnern des Vereinigten Königreichs gehören. Insgesamt enthält die Datenbank über 1300 Passscans.
Für dich empfohlen:
Es muss beachtet werden, dass es zu diesem Zeitpunkt keine Beweise dafür gibt, dass diese Daten von Dritten erlangt wurden.
Suchowski und Inc42 kontaktierten Skolaro unabhängig voneinander, um das Potenzial für Datenlecks von ihrer Plattform zu melden. Shailendra Singh Naruka, ein Softwareentwickler bei Skolaro, hatte Suchowski am 9. März in einer E-Mail versichert, dass die ungesicherten Server dem Top-Management zur Kenntnis gebracht würden. Bisher wurden jedoch keine Maßnahmen ergriffen.
Skolaro teilte uns mit, dass es die Datenbank sichern würde, hat aber selbst drei Tage nach der Benachrichtigung über den Verstoß keine Schritte unternommen. Die Untätigkeit stellt in Frage, wie ernst das Unternehmen seine Verantwortung gegenüber Benutzern nimmt, die Geld bezahlt haben und denen zugesichert wurde, dass ihre Daten und die ihrer schutzbedürftigen Kinder sicher gespeichert sind.
Können Edtech-Plattformen Daten sicher halten, während das Coronavirus die Akzeptanz fördert?
Besorgniserregend ist, dass sich viele Schulen angesichts der weltweiten Quarantäne als Reaktion auf die Coronavirus-Pandemie für die Verwendung von Online-Lernmanagementsystemen entschieden haben oder Unterricht über Videokonferenz-Tools anbieten. Tatsächlich sehen Skolaro und andere ähnliche Angebote laut Berichten in dieser Krise mehr Zugkraft.
Rakhi Mukherjee, Direktor der in Mumbai ansässigen Utpal Shanghvi Global School, sagte TOI diese Woche, dass die Schule Skolaro verwendet, um Hausaufgaben an ihre Schüler zu schicken. „Von den Schülern wird erwartet, dass sie zu Hause bleiben und auf viel Arbeit durch Skolaro, unsere Online-Schulinformationsverwaltungssoftware, warten, damit sie von zu Hause aus weiterarbeiten und sich auf die bevorstehenden Prüfungen vorbereiten können“, wurde sie zitiert.
Allerdings speichert Skolaro Daten zu diesen Hausaufgaben und den Schülern auf ungesicherten, im Internet zugänglichen Servern. Schulen verlassen sich auch auf andere Edtech-Plattformen, um während des Ausbruchs des Coronavirus mit ihren Schülern in Kontakt zu treten, und viele von ihnen bieten vorübergehend kostenlose Dienstleistungen und Produkte an.
Da die Schulen geschlossen sind, ist zu erwarten, dass das Datenvolumen in Bezug auf Schülerfortschritte, Unterricht und andere Informationen in den nächsten Monaten in vielen Teilen Indiens inmitten der Coronavirus-Pandemie erheblich zunehmen wird. Es bleibt abzuwarten, wie viele dieser Plattformen diese sensiblen Daten mit dem Respekt und der Sicherheit behandeln, die sie verdienen.
Die Zahl der Datenschutzverletzungen ist in den letzten Jahren in Indien gestiegen. Laut dem neuesten Bericht des Data Security Council of India (DSCI) wurde Indien zwischen 2016 und 2018 als das am zweithäufigsten von Cyberangriffen betroffene Land identifiziert.
Nach US-amerikanischem Recht hätte Skolaro beispielsweise für jeden Verstoß eine massive Strafe zahlen müssen, und angesichts der Datenmenge, die für jeden Benutzer offengelegt wurde, hätte das Unternehmen möglicherweise sogar mit einer siebenstelligen Geldstrafe oder mehr rechnen müssen das Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA). In der Vergangenheit wurden Google und YouTube von US-Strafverfolgungsbehörden für die Nichteinhaltung von COPPA bestraft, aber ein solches Gesetz wurde nur in Indien diskutiert. Die Datenschutzgesetze erfassen derzeit keine Fälle, in denen Daten von Minderjährigen ungesichert gespeichert werden.
Ohne ein solches Gesetz könnten Plattformen, die Daten auf ungesicherte Weise speichern, möglicherweise nicht einmal von der Regierung bestraft werden, es bleibt den Benutzern überlassen, deren Daten offengelegt wurden, rechtliche Schritte gegen solche Lecks einzuleiten.