独占:Edtechスタートアップが5万人以上の学童、政府関係者のデータを漏らす

公開: 2020-03-14

データには、医療記録、写真、パスポート スキャン、および 5 万人以上の学童のデータが含まれます。

このデータベースは、英国を拠点とするサイバーセキュリティ研究者のロニ スコウスキーによって最初に発見されました。

コロナウイルス検疫の中で、多くの学校がオンライン教育プラットフォームを使用してレッスンを送信しています

インド企業がプライバシーを十分に真剣に考えていないことを示すさらに別の事件では、Gurugram ベースのオンライン学校管理プラットフォーム Scolaro が、データベースを .セキュリティで保護されていないサーバー。

このデータベースを最初に発見したのは、英国を拠点とするサイバーセキュリティ研究者のロニ・スコウスキー氏で、データベースには 13 万を超えるユーザー ID とパスワードが保護されていないと述べています。 これらのユーザー名はそれぞれ、Scolaro のプラットフォームの現在または以前のユーザーに属しており、Suchowski 氏によると、Web 開発の基本的な知識があれば、誰でも簡単にデータベースを調べることができます。

Inc42は、データベースにユーザー名、パスワード、年齢、血液型、宗教、住所、入学番号、学校名、生年月日、成績、プロフィール画像などの詳細が含まれていることを確認できます。 また、一部の学生の病歴も含まれているため、個人情報の盗難やその他の犯罪行為の機が熟しています。

「一人の生徒の何百枚もの写真がデータベースで入手できます。 無作為にチェックしたところ、ほぼ毎日、ある幼稚園で何らかの活動に夢中になっている子供の写真を見ました」と、スコウスキーは言いました。 さらに、Scolaro が提携している学校の教師の給与などの個人情報も公開されました。

研究者は、インターネットをスキャンしてネットワークやサーバーの脅威や脆弱な場所を特定するサイバーセキュリティ サービスから、Scolaro の安全でないサーバーについて警告を受けたと語っています。 彼はまた、移行中に一部のデータベースがパスワードなしで残されることも説明しました。

政府関係者のデータが公開されました

Inc42は、サイバーセキュリティの専門家 Rajshehkar Rajaharia を通じて、セキュリティで保護されていないデータベースを独自に検証しました。 Rajaharia 氏によると、データベースのサイズは約 1.3 GB です。 生徒だけでなく、Scolaro に登録されている保護者や教師に関する個人データもデータベースで入手可能でした。

DataLabs, Inc42 の研究部門も、サーバー上のすべてのユーザーに属するデータのダウンロードに成功しました。 名前、ユーザー ID、パスワード、メール ID、電話番号、職業、年収、学歴などの情報を簡単に見つけることができました。 さらに、有権者 ID、Aadhaar カード、パスポート、出生証明書、居住証明などの文書もデータベース上で保護されずに残されました。 DataLabsは、データベースの確認のためだけにデータをダウンロードしました。

漏洩したデータには、昨年末まで中央政府の最高機関で働いていた人々を含む、元政府高官の詳細が含まれています。 責任ある報告のために、 Inc42はこれらの役人を指名することはできません.

スコウスキー氏によると、インド人の詳細に加えて、データベースには、英国居住者に属する約 90 のスキャンされたパスポートのコピーもあるとのことです。 全体として、データベースには 1300 を超えるパスポート スキャンが含まれています。

あなたにおすすめ:

顧客の声に積極的に耳を傾けることが、スタートアップの成長にどのように役立つか
資力

顧客の声に積極的に耳を傾けることが、スタートアップの成長にどのように役立つか

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか
資力

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

Scolaro のデータベースに表示される個人情報

現時点では、このデータが第三者によって取得されたという証拠はないことに注意してください。

そのプラットフォームからのデータ漏洩の可能性を報告するために、Suchowski とInc42は個別に Scolaro に連絡しました。 Scolaro のソフトウェア開発者である Shailendra Singh Naruka は、3 月 9 日の電子メールで、セキュリティで保護されていないサーバーが経営陣に通知されることを Suchowski に保証していました。 ただし、現在まで何の措置も講じられていません。

Scolaro は、データベースを保護すると語ったが、侵害の通知を受けてから 3 日経っても何の措置も講じていない. この不作為は、お金を払い、自分のデータと脆弱な子供たちのデータが安全に保管されていることを保証されているユーザーに対して、会社がどれほど真剣に責任を負っているかに疑問を投げかけています.

データ侵害インド
Scolaro データベースで利用可能なパスポート

Edtechプラットフォームは、コロナウイルスが採用を後押しする中、データを安全に保つことができますか?

心配なのは、コロナウイルスのパンデミックに対応して世界中で検疫が行われているため、多くの学校がオンライン学習管理システムを使用することを選択したり、ビデオ会議ツールを介して授業を提供したりしていることです. 実際、報告によると、Scolaro や他の同様の製品は、この危機の間、より多くの注目を集めています。

ムンバイに本拠を置く Utpal Shanghvi Global School の校長である Rakhi Mukherjee 氏は、今週 TOI に、同校は Scolaro を使用して生徒に宿題を送ると語った。 「学生は家にいて、私たちのオンライン学校情報管理ソフトウェアであるScolaroを介して多くの仕事がやってくるのを待つことが期待されているので、自宅で仕事を続け、次の試験の準備をすることができます.

ただし、Scolaro がこれらの宿題と生徒に関するデータを、インターネット上でアクセスできるセキュリティで保護されていないサーバーに保存しているという事実。 学校はまた、コロナウイルスの発生の中で生徒とつながるために他の教育技術プラットフォームに依存しており、それらの多くは一時的にサービスや製品を無料で提供しています.

学校が閉鎖されているため、コロナウイルスのパンデミックの中で、インドの多くの地域で今後数か月の間に、学生の進歩、授業、およびその他の情報に関連するデータ量が大幅に増加すると予想されます。 これらのプラットフォームのどれだけが、この機密データをそれに値する敬意とセキュリティをもって扱っているかはまだわかりません.

インドでは、過去数年間でデータ侵害の数が急増しています。 インドのデータ セキュリティ評議会 (DSCI) の最新のレポートによると、インドは 2016 年から 2018 年の間に 2 番目に多くのサイバー攻撃の影響を受けた国として特定されました。

たとえば、米国の法律の下では、Scolaro は違反の各インスタンスに対して多額の罰金を支払わなければならず、すべてのユーザーに公開されたままになっているデータの量を考えると、同社は 7 桁以上の罰金に直面する可能性さえありました。児童オンライン プライバシー保護法 (COPPA)。 過去に、Google と YouTube は COPPA に準拠していないとして米国の法執行機関から罰せられてきましたが、そのような法律が議論されたのはインドだけです。 現時点では、未成年者のデータが保護されていない方法で保存されている場合、データ保護法は適用されません。

実際、そのような法律がなければ、安全でない方法でデータを保存するプラットフォームは政府によって罰せられることさえないかもしれません.