Esclusivo: l'avvio di Edtech fa trapelare i dati di oltre 50.000 bambini in età scolare, funzionari del governo

In un altro incidente che indica che le aziende indiane non prendono abbastanza sul serio la privacy, la piattaforma di gestione scolastica online con sede a Gurugram Skolaro ha esposto i dati appartenenti a oltre 50.000 studenti che studiano in circa 100 scuole indiane, i loro genitori e insegnanti, dopo aver archiviato il suo database in server non protetti.

Il database è stato scoperto per la prima volta da un ricercatore di sicurezza informatica con sede nel Regno Unito Roni Suchowski, il quale ha affermato che ha anche oltre 130.000 ID utente e password che giacciono non protetti nel database. Ognuno di questi nomi utente appartiene a un utente attuale o precedente della piattaforma di Skolaro e Suchowski ha affermato che chiunque abbia una conoscenza di base dello sviluppo web può facilmente dare un'occhiata al database.

Inc42 può confermare che il database contiene nomi utente, password, età, gruppo sanguigno, religione, indirizzo, numero di ammissione, nome della scuola, data di nascita, voti, immagine del profilo tra gli altri dettagli. Contiene anche la storia medica di alcuni studenti, rendendolo maturo per il furto di identità e altri atti criminali.

“Nella banca dati sono disponibili centinaia di fotografie di un singolo studente. Ho controllato a caso e ho visto quasi ogni giorno la foto di un bambino che si dedicava a qualche attività in un asilo", ha detto Suchowski. Inoltre, sono stati esposti anche i dati personali degli insegnanti delle scuole partner di Skolaro, compresi i loro stipendi.

Il ricercatore ci ha detto di essere stato avvisato del server non protetto di Skolaro da un servizio di sicurezza informatica che scansiona Internet per individuare minacce o punti vulnerabili in reti e server. Ha anche spiegato che alcuni database vengono lasciati senza password durante le migrazioni.

Dati di funzionari governativi esposti

Inc42 ha verificato in modo indipendente il database non protetto tramite l'esperto di sicurezza informatica Rajshehkar Rajaharia. Rajaharia ha affermato che la dimensione del database è di circa 1,3 GB. Oltre agli studenti, sul database erano disponibili anche i dati personali relativi a genitori e insegnanti registrati su Skolaro.

La divisione di ricerca di DataLabs, Inc42 è stata anche in grado di scaricare con successo i dati appartenenti a tutti gli utenti sul server. Siamo stati facilmente in grado di trovare informazioni come nomi, ID utente, password, ID e-mail, numeri di telefono, professioni, entrate annuali, titoli di studio, tra gli altri dettagli. Inoltre, nel database sono stati lasciati non protetti anche documenti come documenti di identità degli elettori, carte Aadhaar, passaporti, certificato di nascita e prove di residenza. DataLabs aveva scaricato i dati solo per la conferma del database.

I dati trapelati includono dettagli di ex funzionari del governo, compresi quelli che hanno lavorato in alcune delle più alte cariche del governo centrale fino allo scorso anno. Per motivi di responsabilità, Inc42 non può nominare questi funzionari.

Suchowski ha affermato che oltre ai dettagli sugli indiani, sul database erano disponibili anche circa 90 copie scansionate di passaporti che appartengono a residenti nel Regno Unito. Complessivamente, il database contiene oltre 1300 scansioni di passaporti.

Raccomandato per te:

Risorse

In che modo ascoltare attivamente i tuoi clienti può aiutare la tua startup a crescere

Ratish P.

31 luglio 2022

Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Amit Das

31 luglio 2022

Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Jaspreet K.

31 luglio 2022

Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Vaibhav S.

31 luglio 2022

Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

Charanja L.

31 luglio 2022

Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Ankush S.

31 luglio 2022

Va notato che non ci sono prove che questi dati siano stati ottenuti da terze parti in questo momento.

Suchowski e Inc42 hanno contattato Skolaro in modo indipendente per segnalare la potenziale perdita di dati dalla sua piattaforma. Shailendra Singh Naruka, uno sviluppatore di software presso Skolaro, aveva assicurato a Suchowski in un'e-mail il 9 marzo che i server non protetti sarebbero stati portati a conoscenza del top management. Tuttavia, finora non è stata intrapresa alcuna azione.

Skolaro ci ha detto che avrebbe messo in sicurezza il database ma non ha intrapreso alcuna azione nemmeno tre giorni dopo essere stato informato della violazione. L'inerzia mette in dubbio la serietà con cui l'azienda si assume le proprie responsabilità nei confronti degli utenti che hanno pagato denaro e sono stati assicurati che i loro dati e quelli dei loro bambini vulnerabili sono archiviati in modo sicuro.

Le piattaforme Edtech possono mantenere i dati al sicuro mentre il coronavirus aumenta l'adozione?

La cosa preoccupante è che con la quarantena in tutto il mondo in risposta alla pandemia di coronavirus, molte scuole hanno scelto di utilizzare sistemi di gestione dell'apprendimento online o stanno fornendo lezioni tramite strumenti di videoconferenza. In effetti, Skolaro e altre offerte simili stanno vedendo più trazione durante questa crisi, secondo i rapporti.

Rakhi Mukherjee, preside della Utpal Shanghvi Global School con sede a Mumbai, ha detto questa settimana a TOI che la scuola sta usando Skolaro per inviare i compiti ai suoi studenti. "Gli studenti dovrebbero rimanere a casa, aspettare che arrivi molto lavoro attraverso Skolaro, il nostro software di gestione delle informazioni scolastiche online, in modo che possano continuare a lavorare da casa e prepararsi per i prossimi esami", ha affermato.

Tuttavia, il fatto che Skolaro stia salvando i dati su questi compiti a casa e gli studenti su server non protetti accessibili su Internet. Le scuole si affidano anche ad altre piattaforme edtech per connettersi con i propri studenti durante l'epidemia di coronavirus e molte di loro offrono temporaneamente servizi e prodotti gratuiti.

Con la chiusura delle scuole, ci si può aspettare che il volume di dati relativi ai progressi degli studenti, alle lezioni e ad altre informazioni aumenterà notevolmente durante i prossimi mesi in molte parti dell'India a causa della pandemia di coronavirus. Resta da vedere quante di queste piattaforme trattano questi dati sensibili con il rispetto e la sicurezza che meritano.

Il numero di violazioni dei dati è aumentato negli ultimi anni in India. Secondo l'ultimo rapporto del Data Security Council of India (DSCI), l'India è stata identificata come il secondo paese più colpito da attacchi informatici tra il 2016 e il 2018.

Secondo la legge statunitense, ad esempio, Skolaro avrebbe dovuto pagare una multa enorme per ogni istanza di violazione e data la quantità di dati lasciati esposti per ogni utente, l'azienda avrebbe potuto anche affrontare una multa di sette cifre o superiore, sotto il Child Online Privacy Protection Act (COPPA). In passato, Google e YouTube sono stati penalizzati dalle forze dell'ordine statunitensi per non aver rispettato il COPPA, ma tale legge è stata discussa solo in India. Al momento, le leggi sulla protezione dei dati non coprono i casi di dati di minori archiviati in modo non protetto.

Infatti, in assenza di tale legge, le piattaforme che archiviano i dati in modo non protetto potrebbero non essere nemmeno penalizzate dal governo, è lasciato agli stessi utenti, i cui dati sono stati esposti, intraprendere qualsiasi azione legale contro tali fughe di notizie.