Exclusivo: Startup de Edtech filtra datos de más de 50 000 niños en edad escolar, funcionarios gubernamentales
Publicado: 2020-03-14Los datos incluyen registros médicos, fotos, escaneos de pasaportes y más de 50 000 niños en edad escolar.
La base de datos fue descubierta por primera vez por el investigador de ciberseguridad con sede en el Reino Unido, Roni Suchowski.
En medio de las cuarentenas por coronavirus, muchas escuelas están enviando lecciones usando plataformas de educación en línea
En otro incidente que apunta a que las empresas indias no se toman la privacidad lo suficientemente en serio, la plataforma de administración de escuelas en línea basada en Gurugram, Skolaro, ha expuesto datos pertenecientes a más de 50 000 estudiantes que estudian en alrededor de 100 escuelas indias, sus padres y maestros, después de almacenar su base de datos en servidores no seguros.
La base de datos fue descubierta por primera vez por un investigador de seguridad cibernética con sede en el Reino Unido, Roni Suchowski, quien dijo que también tiene más de 130,000 ID de usuario y contraseñas que se encuentran sin protección en la base de datos. Cada uno de estos nombres de usuario pertenece a un usuario actual o anterior de la plataforma de Skolaro, y Suchowski dijo que cualquier persona con conocimientos básicos de desarrollo web puede echar un vistazo fácilmente a la base de datos.
Inc42 puede confirmar que la base de datos contiene nombres de usuario, contraseñas, edad, grupo sanguíneo, religión, dirección, número de admisión, nombre de la escuela, fecha de nacimiento, calificaciones, imagen de perfil, entre otros detalles. También contiene el historial médico de algunos estudiantes, lo que lo hace propicio para el robo de identidad y otros actos delictivos.
“Cientos de fotografías de un solo estudiante están disponibles en la base de datos. Revisé al azar y vi casi todos los días una foto de un niño realizando alguna actividad en algún jardín de infantes”, dijo Suchowski. Además, también se expusieron los datos personales de los profesores de las escuelas asociadas a Skolaro, incluidos sus salarios.
El investigador nos dijo que fue alertado sobre el servidor no seguro de Skolaro por un servicio de ciberseguridad que escanea Internet para identificar amenazas o puntos vulnerables en redes y servidores. También explicó que algunas bases de datos se quedan sin contraseña durante las migraciones.
Datos de funcionarios gubernamentales expuestos
Inc42 verificó de forma independiente la base de datos no segura a través del experto en ciberseguridad Rajshehkar Rajaharia. Rajaharia dijo que el tamaño de la base de datos es de aproximadamente 1,3 GB. Además de los estudiantes, los datos personales relacionados con los padres y profesores registrados en Skolaro también estaban disponibles en la base de datos.
La división de investigación de DataLabs, Inc42 también pudo descargar con éxito los datos pertenecientes a todos los usuarios en el servidor. Pudimos encontrar fácilmente información como nombres, ID de usuario, contraseñas, ID de correo electrónico, números de teléfono, profesiones, ingresos anuales, calificaciones educativas, entre otros detalles. Además, documentos como identificaciones de votantes, tarjetas Aadhaar, pasaportes, certificados de nacimiento y comprobantes de residencia también quedaron desprotegidos en la base de datos. DataLabs había descargado los datos solo para la confirmación de la base de datos.
Los datos filtrados incluyen detalles de exfuncionarios del gobierno, incluidos aquellos que han trabajado en algunas de las oficinas más altas del gobierno central hasta el año pasado. Por el bien de la información responsable, Inc42 no puede nombrar a estos funcionarios.
Suchowski dijo que, además de los detalles de los indios, también había alrededor de 90 copias escaneadas de pasaportes disponibles en la base de datos que pertenecen a residentes del Reino Unido. En general, la base de datos contiene más de 1300 escaneos de pasaportes.
Recomendado para ti:
Cómo escuchar activamente a sus clientes puede ayudar a que su empresa crezca
Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India
Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Cabe señalar que no hay evidencia de que estos datos hayan sido obtenidos por terceros en este momento.
Suchowski e Inc42 contactaron a Skolaro de forma independiente para informar la posibilidad de fuga de datos de su plataforma. Shailendra Singh Naruka, desarrolladora de software en Skolaro, había asegurado a Suchowski en un correo electrónico el 9 de marzo que los servidores no seguros serían notificados a la alta dirección. Sin embargo, hasta ahora no se ha tomado ninguna medida.
Skolaro nos dijo que protegería la base de datos, pero no ha tomado ninguna medida incluso tres días después de haber sido notificado de la violación. La inacción pone en duda la seriedad con la que la empresa se toma su responsabilidad hacia los usuarios que han pagado dinero y se les ha asegurado que sus datos y los de sus niños vulnerables se almacenan de forma segura.
¿Pueden las plataformas Edtech mantener los datos seguros a medida que el coronavirus aumenta la adopción?
Lo preocupante es que con la cuarentena en todo el mundo en respuesta a la pandemia de coronavirus, muchas escuelas han optado por utilizar sistemas de gestión de aprendizaje en línea o están brindando lecciones a través de herramientas de videoconferencia. De hecho, Skolaro y otras ofertas similares están experimentando más tracción durante esta crisis, según los informes.
Rakhi Mukherjee, director de la Escuela Global Utpal Shanghvi con sede en Mumbai, le dijo a TOI esta semana que la escuela está usando Skolaro para enviar tareas a sus estudiantes. “Se espera que los estudiantes se queden en casa, esperen mucho trabajo a través de Skolaro, nuestro software de gestión de información escolar en línea, para que puedan seguir trabajando desde casa y prepararse para los próximos exámenes”, dijo.
Sin embargo, el hecho de que Skolaro esté guardando datos sobre estas tareas y los estudiantes en servidores no seguros accesibles en Internet. Las escuelas también confían en otras plataformas edtech para conectarse con sus estudiantes en medio del brote de coronavirus, y muchas de ellas ofrecen temporalmente servicios y productos sin cargo.
Con el cierre de las escuelas, se puede esperar que el volumen de datos relacionados con el progreso de los estudiantes, las lecciones y otra información aumente sustancialmente durante los próximos meses en muchas partes de la India en medio de la pandemia de coronavirus. Queda por ver cuántas de estas plataformas tratan estos datos sensibles con el respeto y la seguridad que se merecen.
El número de filtraciones de datos ha aumentado en los últimos años en India. Según el último informe del Consejo de Seguridad de Datos de India (DSCI), India ha sido identificada como el segundo país más afectado por ciberataques entre 2016 y 2018.
Bajo la ley de los EE. UU., por ejemplo, Skolaro habría tenido que pagar una multa masiva por cada instancia de violación y, dada la cantidad de datos que quedaron expuestos para cada usuario, la empresa podría haber enfrentado una multa de siete cifras o más, bajo la Ley de Protección de la Privacidad Infantil en Línea (COPPA). En el pasado, Google y YouTube han sido penalizados por las fuerzas del orden de EE. UU. por no cumplir con COPPA, pero tal ley solo se ha discutido en India. Por el momento, las leyes de protección de datos no cubren casos de datos de menores almacenados de manera no segura.
De hecho, sin tal ley, las plataformas que almacenan datos de manera no segura ni siquiera podrían ser penalizadas por el gobierno, se deja a los mismos usuarios, cuyos datos fueron expuestos, emprender acciones legales contra tales filtraciones.