독점: Edtech Startup, 50,000명 이상의 학생 데이터 유출, 정부 관리
게시 됨: 2020-03-14데이터에는 의료 기록, 사진, 여권 스캔 및 50,000명 이상의 학생이 포함됩니다.
데이터베이스는 영국에 기반을 둔 사이버 보안 연구원인 Roni Suchowski가 처음 발견했습니다.
코로나 바이러스 검역소에서 많은 학교가 온라인 교육 플랫폼을 사용하여 수업을 보내고 있습니다
인도 기업이 개인 정보를 충분히 중요하게 생각하지 않는다는 또 다른 사건에서 Gurugram 기반 온라인 학교 관리 플랫폼 Skolaro는 데이터베이스를 보안되지 않은 서버.
이 데이터베이스는 영국에 기반을 둔 사이버 보안 연구원인 Roni Suchowski에 의해 처음 발견되었으며, 130,000개가 넘는 사용자 ID와 비밀번호가 데이터베이스에 보호되지 않고 있다고 말했습니다. 이러한 사용자 이름은 각각 Skolaro 플랫폼의 현재 또는 이전 사용자에 속하며 웹 개발에 대한 기본 지식이 있는 사람은 데이터베이스를 쉽게 볼 수 있다고 슈코브스키는 말했습니다.
Inc42 는 데이터베이스에 사용자 이름, 암호, 나이, 혈액형, 종교, 주소, 입학 번호, 학교 이름, 생년월일, 학년, 프로필 이미지가 포함되어 있음을 확인할 수 있습니다. 또한 일부 학생의 병력이 포함되어 있어 신분 도용 및 기타 범죄 행위에 적합합니다.
“한 학생의 수백 장의 사진이 데이터베이스에 있습니다. 나는 무작위로 확인했고 거의 매일 어떤 유치원에서 어떤 활동에 탐닉하는 아이의 사진을 보았습니다.”라고 Suchowski는 말했습니다. 게다가 스콜라로와 제휴한 학교 교사들의 급여 등 인적사항도 공개됐다.
연구원은 네트워크와 서버의 위협이나 취약한 부분을 찾아내기 위해 인터넷을 스캔하는 사이버 보안 서비스에 의해 Skolaro의 보안되지 않은 서버에 경고를 받았다고 말했습니다. 그는 또한 마이그레이션 중에 일부 데이터베이스가 암호 없이 남아 있다고 설명했습니다.
공무원 데이터 노출
Inc42 는 사이버 보안 전문가 Rajshehkar Rajaharia를 통해 보안되지 않은 데이터베이스를 독립적으로 검증했습니다. Rajaharia는 데이터베이스 크기가 약 1.3GB라고 말했습니다. 학생 외에도 Skolaro에 등록된 학부모 및 교사와 관련된 개인 데이터도 데이터베이스에서 사용할 수 있었습니다.
DataLabs, Inc42의 연구 부서도 서버의 모든 사용자에 속하는 데이터를 성공적으로 다운로드할 수 있었습니다. 이름, 사용자 ID, 비밀번호, 이메일 ID, 전화번호, 직업, 연간 수입, 학력 등의 정보를 쉽게 찾을 수 있었습니다. 또한 유권자 ID, Aadhaar 카드, 여권, 출생 증명서 및 거주 증명과 같은 문서도 데이터베이스에 보호되지 않은 채로 남아 있습니다. DataLabs 는 데이터베이스 확인을 위해서만 데이터를 다운로드했습니다.
유출된 데이터에는 지난해 말까지 중앙정부 고위직 일부에서 근무한 전직 공무원의 세부 정보가 포함되어 있습니다. 책임 있는 보고를 위해 Inc42 는 이러한 공무원의 이름을 지정할 수 없습니다.
수코브스키는 인디언에 대한 세부 정보 외에도 영국 거주자의 데이터베이스에 약 90개의 스캔한 여권 사본이 있다고 말했습니다. 전반적으로 데이터베이스에는 1300개 이상의 여권 스캔이 포함되어 있습니다.
당신을 위해 추천 된:
이 데이터가 현재 제3자에 의해 획득되었다는 증거가 없다는 점에 유의해야 합니다.
Suchowski와 Inc42 는 Skolaro에 독립적으로 연락하여 플랫폼에서 데이터 유출 가능성을 보고했습니다. Skolaro의 소프트웨어 개발자인 Shailendra Singh Naruka는 3월 9일 이메일을 통해 Suchowski에게 보안되지 않은 서버가 최고 경영진에게 통지될 것이라고 확신했습니다. 그러나 지금까지 아무런 조치도 취하지 않았습니다.
Skolaro는 데이터베이스를 보호할 것이라고 밝혔지만 침해 사실을 통보받은 지 3일이 지났는데도 아무런 조치를 취하지 않았습니다. 아무런 조치를 취하지 않는 것은 회사가 돈을 지불하고 자신과 취약한 자녀의 데이터가 안전하게 저장된다는 확신을 받은 사용자에 대한 책임을 얼마나 진지하게 받아들이는지에 대한 의문을 불러일으킨다.
코로나 바이러스가 채택을 촉진함에 따라 Edtech 플랫폼이 데이터를 안전하게 유지할 수 있습니까?
우려되는 점은 코로나바이러스 팬데믹에 대응하여 전 세계적으로 검역이 이루어지면서 많은 학교에서 온라인 학습 관리 시스템을 사용하거나 화상 회의 도구를 통해 수업을 제공하고 있다는 것입니다. 실제로 보고서에 따르면 Skolaro 및 기타 유사한 제품은 이 위기 동안 더 많은 관심을 받고 있습니다.
뭄바이에 기반을 둔 Utpal Shanghvi Global School의 교장인 Rakhi Mukherjee는 이번 주 TOI에 학교가 Skolaro를 사용하여 학생들에게 숙제를 보내고 있다고 말했습니다. 그녀는 "학생들은 집에 머물면서 온라인 학교 정보 관리 소프트웨어인 Skolaro를 통해 오는 많은 작업을 기다리며 집에서 계속 공부하고 다가오는 시험을 준비할 수 있을 것"이라고 말했습니다.
그러나 Skolaro가 이러한 숙제와 학생들에 대한 데이터를 인터넷에서 액세스할 수 있는 보안되지 않은 서버에 저장하고 있다는 사실입니다. 학교는 또한 코로나바이러스 발생 중에 학생들과 연결하기 위해 다른 교육 기술 플랫폼에 의존하고 있으며 많은 학교에서 일시적으로 서비스와 제품을 무료로 제공하고 있습니다.
학교가 문을 닫음에 따라 코로나바이러스 대유행 속에서 인도의 많은 지역에서 향후 몇 개월 동안 학생 진도, 수업 및 기타 정보와 관련된 데이터 양이 크게 증가할 것으로 예상할 수 있습니다. 이러한 플랫폼 중 얼마나 많은 플랫폼이 이 민감한 데이터를 가치 있는 존중과 보안으로 취급하는지 두고 봐야 합니다.
인도에서 지난 몇 년 동안 데이터 유출 건수가 급증했습니다. 최신 인도 데이터 보안 위원회(DSCI) 보고서에 따르면 인도는 2016년에서 2018년 사이에 두 번째로 사이버 공격을 많이 받은 국가로 확인되었습니다.
예를 들어, 미국 법에 따르면 Skolaro는 위반 사례마다 막대한 벌금을 부과해야 했으며 모든 사용자에게 노출된 데이터의 양을 감안할 때 회사는 아동 온라인 개인 정보 보호법(COPPA). 과거에는 구글과 유튜브가 COPPA를 준수하지 않아 미국 법집행기관으로부터 제재를 받은 적이 있지만 이러한 법률은 인도에서만 논의된 바 있다. 현재 데이터 보호법은 미성년자의 데이터가 안전하지 않은 방식으로 저장되는 경우에는 적용되지 않습니다.
사실 그런 법이 없으면 데이터를 안전하지 않은 방식으로 저장하는 플랫폼은 정부에서 처벌조차 받지 않을 수 있으며, 이러한 유출에 대해 법적 조치를 취하는 것은 데이터가 노출된 바로 사용자에게 달려 있습니다.