Exclusif : la start-up Edtech divulgue les données de plus de 50 000 écoliers et responsables gouvernementaux

Publié: 2020-03-14

Les données comprennent des dossiers médicaux, des photos, des scans de passeports et plus de 50 000 écoliers

La base de données a été découverte pour la première fois par Roni Suchowski, chercheur en cybersécurité basé au Royaume-Uni.

Au milieu des quarantaines de coronavirus, de nombreuses écoles envoient des cours en utilisant des plateformes d'enseignement en ligne

Dans un autre incident qui indique que les entreprises indiennes ne prennent pas suffisamment au sérieux la confidentialité, la plate-forme de gestion scolaire en ligne basée sur Gurugram, Skolaro, a exposé des données appartenant à plus de 50 000 étudiants étudiant dans une centaine d'écoles indiennes, leurs parents ainsi que leurs enseignants, après avoir stocké sa base de données dans serveurs non sécurisés.

La base de données a été découverte pour la première fois par un chercheur en cybersécurité basé au Royaume-Uni, Roni Suchowski, qui a déclaré qu'elle disposait également de plus de 130 000 identifiants d'utilisateur et mots de passe non protégés dans la base de données. Chacun de ces noms d'utilisateur appartient à un utilisateur actuel ou ancien de la plate-forme de Skolaro, et Suchowski a déclaré que toute personne ayant des connaissances de base en développement Web peut facilement consulter la base de données.

Inc42 peut confirmer que la base de données contient des noms d'utilisateur, des mots de passe, l'âge, le groupe sanguin, la religion, l'adresse, le numéro d'admission, le nom de l'école, la date de naissance, les notes, l'image du profil, entre autres détails. Il contient également les antécédents médicaux de certains étudiants, ce qui le rend mûr pour le vol d'identité et d'autres actes criminels.

« Des centaines de photographies d'un seul étudiant sont disponibles dans la base de données. J'ai vérifié au hasard et j'ai vu presque tous les jours une photo d'un enfant se livrant à une activité dans un jardin d'enfants », a déclaré Suchowski. De plus, les détails personnels des enseignants des écoles partenaires de Skolaro, y compris leurs salaires, ont également été exposés.

Le chercheur nous a dit qu'il avait été alerté du serveur non sécurisé de Skolaro par un service de cybersécurité qui scanne Internet pour identifier les menaces ou les points vulnérables dans les réseaux et les serveurs. Il a également expliqué que certaines bases de données se retrouvent sans mot de passe lors des migrations.

Les données des responsables gouvernementaux exposées

Inc42 a vérifié de manière indépendante la base de données non sécurisée par l'intermédiaire de l'expert en cybersécurité Rajshehkar Rajaharia. Rajaharia a déclaré que la taille de la base de données est d'environ 1,3 Go. Outre les étudiants, les données personnelles relatives aux parents et aux enseignants inscrits sur Skolaro étaient également disponibles dans la base de données.

La division de recherche de DataLabs, Inc42 a également pu télécharger avec succès les données appartenant à tous les utilisateurs sur le serveur. Nous avons pu facilement trouver des informations telles que des noms, des identifiants d'utilisateur, des mots de passe, des identifiants de messagerie, des numéros de téléphone, des professions, des revenus annuels, des diplômes, entre autres détails. De plus, des documents tels que les cartes d'électeur, les cartes Aadhaar, les passeports, l'acte de naissance et la preuve de résidence ont également été laissés sans protection dans la base de données. DataLabs avait téléchargé les données uniquement pour la confirmation de la base de données.

Les données divulguées incluent des détails sur d'anciens responsables gouvernementaux, y compris ceux qui ont travaillé dans certains des plus hauts bureaux du gouvernement central jusqu'à l'année dernière. Par souci de responsabilité, Inc42 ne peut pas nommer ces responsables.

Suchowski a déclaré qu'en plus des détails sur les Indiens, il y avait environ 90 copies numérisées de passeports également disponibles dans la base de données qui appartiennent à des résidents britanniques. Dans l'ensemble, la base de données contient plus de 1300 scans de passeports.

Recommandé pour vous:

Comment l'écoute active de vos clients peut aider votre startup à se développer

Comment l'écoute active de vos clients peut aider votre startup à se développer

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via « Jugaad » : PDG de CitiusTech

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Comment Metaverse va transformer l'industrie automobile indienne

Comment Metaverse va transformer l'industrie automobile indienne

Que signifie la disposition anti-profit pour les startups indiennes ?

Que signifie la disposition anti-profit pour les startups indiennes ?

Comment les startups Edtech aident à améliorer les compétences et à préparer la main-d'œuvre pour l'avenir

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Données personnelles visibles sur la base de données de Skolaro

Il convient de noter qu'il n'y a aucune preuve que ces données ont été obtenues par des tiers à l'heure actuelle.

Suchowski et Inc42 ont contacté Skolaro indépendamment pour signaler le potentiel de fuite de données de sa plateforme. Shailendra Singh Naruka, développeur de logiciels chez Skolaro, avait assuré Suchowski dans un e-mail du 9 mars que les serveurs non sécurisés seraient portés à la connaissance de la haute direction. Cependant, aucune mesure n'a été prise jusqu'à présent.

Skolaro nous a dit qu'il sécuriserait la base de données mais il n'a pris aucune mesure même trois jours après avoir été informé de la violation. L'inaction remet en question le sérieux avec lequel l'entreprise prend sa responsabilité envers les utilisateurs qui ont payé de l'argent et ont été assurés que leurs données et celles de leurs enfants vulnérables sont stockées en toute sécurité.

violation de données Inde
Un passeport disponible sur la base de données Skolaro

Les plateformes Edtech peuvent-elles assurer la sécurité des données alors que le coronavirus stimule l'adoption ?

Ce qui est inquiétant, c'est qu'avec la mise en quarantaine dans le monde en réponse à la pandémie de coronavirus, de nombreuses écoles ont choisi d'utiliser des systèmes de gestion de l'apprentissage en ligne ou dispensent des cours via des outils de vidéoconférence. En fait, Skolaro et d'autres offres similaires connaissent plus de succès pendant cette crise, selon les rapports.

Rakhi Mukherjee, directeur de l'école mondiale Utpal Shanghvi basée à Mumbai, a déclaré à TOI cette semaine que l'école utilise Skolaro pour envoyer des devoirs à ses élèves. "Les étudiants sont censés rester à la maison, attendre que beaucoup de travail leur arrive via Skolaro, notre logiciel de gestion des informations scolaires en ligne, afin qu'ils puissent continuer à travailler à domicile et se préparer aux prochains examens", a-t-elle déclaré.

Cependant, le fait que Skolaro enregistre des données sur ces devoirs et les étudiants sur des serveurs non sécurisés accessibles sur Internet. Les écoles s'appuient également sur d'autres plates-formes edtech pour se connecter avec leurs élèves au milieu de l'épidémie de coronavirus, et beaucoup d'entre elles proposent temporairement des services et des produits gratuits.

Avec la fermeture des écoles, on peut s'attendre à ce que le volume de données liées aux progrès des élèves, aux leçons et à d'autres informations augmente considérablement au cours des prochains mois dans de nombreuses régions de l'Inde au milieu de la pandémie de coronavirus. Reste à savoir combien de ces plateformes traitent ces données sensibles avec le respect et la sécurité qu'elles méritent.

Le nombre de violations de données a augmenté ces dernières années en Inde. Selon le dernier rapport du Data Security Council of India (DSCI), l'Inde a été identifiée comme le deuxième pays le plus touché par les cyberattaques entre 2016 et 2018.

En vertu de la loi américaine, par exemple, Skolaro aurait dû payer une amende massive pour chaque cas de violation et compte tenu de la quantité de données laissées exposées pour chaque utilisateur, l'entreprise aurait même pu faire face à une amende à sept chiffres ou plus, sous la loi sur la protection de la vie privée des enfants en ligne (COPPA). Dans le passé, Google et YouTube ont été pénalisés par les forces de l'ordre américaines pour non-respect de la COPPA, mais une telle loi n'a été discutée qu'en Inde. À l'heure actuelle, les lois sur la protection des données ne couvrent pas les cas où les données de mineurs sont stockées de manière non sécurisée.

En fait, sans une telle loi, les plateformes qui stockent des données de manière non sécurisée pourraient même ne pas être pénalisées par le gouvernement, il appartient aux utilisateurs mêmes, dont les données ont été exposées, d'intenter une action en justice contre de telles fuites.