Wyłącznie: Edtech Startup ujawnia dane dotyczące ponad 50 000 dzieci w wieku szkolnym, urzędników rządowych
Opublikowany: 2020-03-14Dane obejmują dokumentację medyczną, zdjęcia, skany paszportów i więcej dzieci w wieku szkolnym 50 000
Baza danych została po raz pierwszy odkryta przez brytyjskiego badacza cyberbezpieczeństwa Roni Suchowskiego
W trakcie kwarantanny koronawirusa wiele szkół wysyła lekcje za pomocą internetowych platform edukacyjnych
W kolejnym incydencie, który wskazuje na to, że indyjskie firmy nie traktują prywatności wystarczająco poważnie, oparta na Gurugram platforma internetowa do zarządzania szkołami Skolaro ujawniła dane należące do ponad 50 tys. uczniów uczących się w około 100 indyjskich szkołach, ich rodziców i nauczycieli, po przechowywaniu swojej bazy danych w niezabezpieczone serwery.
Baza danych została po raz pierwszy odkryta przez brytyjskiego badacza cyberbezpieczeństwa Roni Suchowskiego, który powiedział, że zawiera również ponad 130 000 identyfikatorów użytkowników i haseł, które nie są chronione w bazie danych. Każda z tych nazw użytkowników należy do obecnego lub byłego użytkownika platformy Skolaro, a Suchowski powiedział, że każdy, kto ma podstawową wiedzę na temat tworzenia stron internetowych, może z łatwością zajrzeć do bazy danych.
Inc42 może potwierdzić, że baza danych zawiera między innymi nazwy użytkowników, hasła, wiek, grupę krwi, religię, adres, numer przyjęcia, nazwę szkoły, datę urodzenia, stopnie, zdjęcie profilowe. Zawiera również historię medyczną niektórych studentów, co czyni ją dojrzałą do kradzieży tożsamości i innych przestępstw.
„W bazie danych dostępne są setki zdjęć jednego ucznia. Sprawdziłem wyrywkowo i prawie codziennie widziałem zdjęcie dziecka oddanego jakiejś czynności w jakimś przedszkolu – opowiada Suchowski. Ponadto ujawniono dane osobowe nauczycieli w szkołach partnerskich Skolaro, w tym ich pensje.
Badacz powiedział nam, że został ostrzeżony o niezabezpieczonym serwerze Skolaro przez usługę cyberbezpieczeństwa, która skanuje Internet w celu zlokalizowania zagrożeń lub słabych punktów w sieciach i serwerach. Wyjaśnił też, że podczas migracji niektóre bazy danych pozostają bez hasła.
Ujawnione dane urzędników państwowych
Inc42 niezależnie zweryfikowało niezabezpieczoną bazę danych za pośrednictwem eksperta ds. cyberbezpieczeństwa Rajshehkara Rajaharia. Rajaharia powiedział, że rozmiar bazy danych wynosi około 1,3 GB. Oprócz uczniów w bazie dostępne były również dane osobowe dotyczące rodziców i nauczycieli zarejestrowanych w Skolaro.
DataLabs, dział badawczy Inc42, był również w stanie z powodzeniem pobrać dane należące do wszystkich użytkowników na serwerze. Z łatwością mogliśmy znaleźć między innymi informacje, takie jak nazwiska, identyfikatory użytkowników, hasła, identyfikatory e-mail, numery telefonów, zawody, roczne dochody, kwalifikacje edukacyjne. Ponadto dokumenty, takie jak legitymacje wyborcze, karty Aadhaar, paszporty, akt urodzenia i dowód zamieszkania również nie były chronione w bazie danych. DataLabs pobrał dane tylko w celu potwierdzenia bazy danych.
Ujawnione dane zawierają dane byłych urzędników państwowych, w tym tych, którzy pracowali w niektórych z najwyższych urzędów w rządzie centralnym aż do zeszłego roku. Ze względu na odpowiedzialne raportowanie, Inc42 nie może wymienić tych urzędników.
Suchowski powiedział, że poza danymi Indian, w bazie dostępnych jest również około 90 zeskanowanych kopii paszportów należących do mieszkańców Wielkiej Brytanii. W sumie baza zawiera ponad 1300 skanów paszportów.
Polecany dla Ciebie:
Jak aktywne słuchanie klientów może pomóc w rozwoju Twojego startupu
Jak platforma agregacji kont RBI ma zmienić fintech w Indiach
Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...
Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Co oznacza przepis anty-profitowy dla indyjskich startupów?
W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...
Należy zauważyć, że obecnie nie ma dowodów na to, że dane te zostały pozyskane przez osoby trzecie.
Suchowski i Inc42 skontaktowali się niezależnie ze Skolaro, aby zgłosić potencjalny wyciek danych z jego platformy. Shailendra Singh Naruka, programista w Skolaro, zapewniła Suchowskiego w e-mailu z 9 marca, że niezabezpieczone serwery zostaną powiadomione przez najwyższe kierownictwo. Jednak do tej pory nie podjęto żadnych działań.
Skolaro powiedział nam, że będzie zabezpieczał bazę danych, ale nie podjął żadnych kroków nawet trzy dni po otrzymaniu powiadomienia o naruszeniu. Bezczynność stawia pod znakiem zapytania, jak poważnie firma traktuje swoją odpowiedzialność wobec użytkowników, którzy wpłacili pieniądze i uzyskali pewność, że ich dane oraz dane ich wrażliwych dzieci są bezpiecznie przechowywane.
Czy platformy Edtech mogą zapewnić bezpieczeństwo danych, ponieważ koronawirus przyspiesza adopcję?
Niepokojące jest to, że w związku z kwarantanną na całym świecie w odpowiedzi na pandemię koronawirusa wiele szkół zdecydowało się na korzystanie z systemów zarządzania nauczaniem online lub zapewnianie lekcji za pośrednictwem narzędzi do wideokonferencji. W rzeczywistości Skolaro i inne podobne oferty zyskują większą popularność podczas tego kryzysu, jak wynika z raportów.
Rakhi Mukherjee, dyrektor Utpal Shanghvi Global School z siedzibą w Bombaju, powiedział w tym tygodniu TOI, że szkoła używa Skolaro do wysyłania prac domowych swoim uczniom. „Oczekuje się, że uczniowie pozostaną w domu, czekając na mnóstwo pracy, która będzie przechodzić przez Skolaro, nasze internetowe oprogramowanie do zarządzania informacjami o szkole, aby mogli kontynuować pracę w domu i przygotować się do nadchodzących egzaminów” – powiedziała.
Jednak fakt, że Skolaro zapisuje dane o zadaniach domowych i uczniach na niezabezpieczonych serwerach dostępnych w Internecie. Szkoły polegają również na innych platformach edtech, aby połączyć się ze swoimi uczniami podczas epidemii koronawirusa, a wiele z nich tymczasowo oferuje usługi i produkty bezpłatnie.
Po zamknięciu szkół można spodziewać się znacznego wzrostu ilości danych związanych z postępami uczniów, lekcjami i innymi informacjami w ciągu najbliższych kilku miesięcy w wielu częściach Indii podczas pandemii koronawirusa. Dopiero okaże się, jak wiele z tych platform traktuje te wrażliwe dane z szacunkiem i bezpieczeństwem, na jakie zasługują.
Liczba naruszeń danych wzrosła w ciągu ostatnich kilku lat w Indiach. Zgodnie z najnowszym raportem Rady Bezpieczeństwa Danych Indii (DSCI), Indie zostały uznane za drugi kraj pod względem liczby ataków cybernetycznych w latach 2016-2018.
Na przykład zgodnie z prawem amerykańskim Skolaro musiałby zapłacić ogromną karę za każdy przypadek naruszenia, a biorąc pod uwagę ilość danych, które zostały ujawnione dla każdego użytkownika, firma mogła nawet zostać ukarana grzywną w wysokości siedmiu cyfr lub wyższą. Ustawa o ochronie prywatności dzieci w Internecie (COPPA). W przeszłości Google i YouTube były karane przez amerykańskie organy ścigania za nieprzestrzeganie COPPA, ale takie prawo było omawiane tylko w Indiach. W chwili obecnej przepisy o ochronie danych nie obejmują przypadków przechowywania danych małoletnich w sposób niezabezpieczony.
W rzeczywistości, bez takiego prawa, platformy przechowujące dane w sposób niezabezpieczony mogą nawet nie zostać ukarane przez rząd, a podjęcie jakichkolwiek działań prawnych przeciwko takim wyciekom pozostawione jest tym samym użytkownikom, których dane zostały ujawnione.