Exclusivo: Startup Edtech vaza dados de mais de 50 mil crianças em idade escolar, funcionários do governo
Publicados: 2020-03-14Os dados incluem registros médicos, fotos, digitalizações de passaporte e mais de 50 mil crianças em idade escolar
O banco de dados foi descoberto pela primeira vez pelo pesquisador de segurança cibernética do Reino Unido Roni Suchowski
Em meio às quarentenas do coronavírus, muitas escolas estão enviando aulas usando plataformas de educação online
Em mais um incidente que aponta para as empresas indianas que não levam a privacidade suficientemente a sério, a plataforma de gerenciamento escolar online Skolaro, baseada em Gurugram, expôs dados de mais de 50 mil alunos que estudam em cerca de 100 escolas indianas, seus pais e professores, depois de armazenar seu banco de dados em servidores inseguros.
O banco de dados foi descoberto pela primeira vez por um pesquisador de segurança cibernética do Reino Unido, Roni Suchowski, que disse que também possui mais de 130 mil IDs de usuário e senhas que estão desprotegidas no banco de dados. Cada um desses nomes de usuário pertence a um usuário atual ou anterior da plataforma Skolaro, e Suchowski disse que qualquer pessoa com conhecimento básico de desenvolvimento web pode facilmente dar uma olhada no banco de dados.
Inc42 pode confirmar que o banco de dados contém nomes de usuário, senhas, idade, grupo sanguíneo, religião, endereço, número de admissão, nome da escola, data de nascimento, notas, imagem de perfil entre outros detalhes. Ele também contém o histórico médico de alguns alunos, tornando-o maduro para roubo de identidade e outros atos de crime.
“Centenas de fotografias de um único aluno estão disponíveis no banco de dados. Verifiquei aleatoriamente e vi quase todos os dias uma foto de uma criança participando de alguma atividade em algum jardim de infância”, disse Suchowski. Além disso, detalhes pessoais de professores de escolas parceiras de Skolaro, incluindo seus salários, também foram expostos.
O pesquisador nos disse que foi alertado sobre o servidor inseguro de Skolaro por um serviço de segurança cibernética que varre a internet para identificar ameaças ou pontos vulneráveis em redes e servidores. Ele também explicou que alguns bancos de dados ficam sem senha durante as migrações.
Dados de funcionários do governo expostos
A Inc42 verificou independentemente o banco de dados não seguro por meio do especialista em segurança cibernética Rajshehkar Rajaharia. Rajaharia disse que o tamanho do banco de dados é de aproximadamente 1,3 GB. Além dos alunos, dados pessoais relativos aos pais e professores cadastrados no Skolaro também estavam disponíveis no banco de dados.
A divisão de pesquisa da DataLabs, Inc42 também conseguiu baixar com sucesso dados pertencentes a todos os usuários no servidor. Conseguimos encontrar facilmente informações como nomes, IDs de usuários, senhas, IDs de e-mail, números de telefone, profissões, renda anual, qualificações educacionais, entre outros detalhes. Além disso, documentos como títulos de eleitor, cartões Aadhaar, passaportes, certidão de nascimento e comprovante de residência também foram deixados desprotegidos no banco de dados. O DataLabs havia baixado os dados apenas para confirmação do banco de dados.
Os dados vazados incluem detalhes de ex-funcionários do governo, incluindo aqueles que trabalharam em alguns dos mais altos cargos do governo central até o ano passado. Por uma questão de relatório responsável, Inc42 não pode nomear esses funcionários.
Suchowski disse que, além dos detalhes dos indianos, havia cerca de 90 cópias digitalizadas de passaportes também disponíveis no banco de dados que pertencem aos residentes do Reino Unido. No geral, o banco de dados contém mais de 1300 digitalizações de passaporte.
Recomendado para você:
Como ouvir ativamente seus clientes pode ajudar sua startup a crescer
Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Empreendedores não podem criar startups sustentáveis e escaláveis por meio do 'Jugaad':...
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Deve-se notar que não há evidências de que esses dados tenham sido obtidos por terceiros neste momento.
Suchowski e Inc42 contataram Skolaro de forma independente para relatar o potencial de vazamento de dados de sua plataforma. Shailendra Singh Naruka, desenvolvedora de software da Skolaro, garantiu a Suchowski em um e-mail em 9 de março que os servidores inseguros seriam levados ao conhecimento da alta administração. No entanto, nenhuma ação foi tomada até o momento.
Skolaro nos disse que estaria protegendo o banco de dados, mas não tomou nenhuma medida até três dias após ser notificado da violação. A inação questiona a seriedade com que a empresa leva sua responsabilidade em relação aos usuários que pagaram dinheiro e tiveram a garantia de que seus dados e os de seus filhos vulneráveis são armazenados com segurança.
As plataformas Edtech podem manter os dados seguros à medida que o coronavírus aumenta a adoção?
O que é preocupante é que, com a quarentena em todo o mundo em resposta à pandemia de coronavírus, muitas escolas optaram por usar sistemas de gerenciamento de aprendizado online ou estão ministrando aulas por meio de ferramentas de videoconferência. De fato, Skolaro e outras ofertas semelhantes estão vendo mais tração durante esta crise, conforme relatórios.
Rakhi Mukherjee, diretor da Utpal Shanghvi Global School, com sede em Mumbai, disse ao TOI esta semana que a escola está usando o Skolaro para enviar trabalhos de casa para seus alunos. “Espera-se que os alunos fiquem em casa, aguardem muito trabalho por meio do Skolaro, nosso software de gerenciamento de informações escolares on-line, para que possam continuar trabalhando em casa e se preparar para os próximos exames”, disse ela.
No entanto, o fato de Skolaro estar salvando dados dessas tarefas de casa e dos alunos em servidores não seguros acessíveis na internet. As escolas também estão contando com outras plataformas de edtech para se conectar com seus alunos em meio ao surto de coronavírus, e muitas delas estão oferecendo temporariamente serviços e produtos gratuitos.
Com o fechamento das escolas, pode-se esperar que o volume de dados relacionados ao progresso dos alunos, aulas e outras informações aumente substancialmente durante os próximos meses em muitas partes da Índia em meio à pandemia de coronavírus. Resta saber quantas dessas plataformas tratam esses dados confidenciais com o respeito e a segurança que merecem.
O número de violações de dados aumentou nos últimos anos na Índia. De acordo com o último relatório do Conselho de Segurança de Dados da Índia (DSCI), a Índia foi identificada como o segundo país mais afetado por ataques cibernéticos entre 2016 e 2018.
De acordo com a lei dos EUA, por exemplo, a Skolaro teria que pagar uma multa enorme por cada caso de violação e, dada a quantidade de dados que foram expostos para cada usuário, a empresa poderia até ter enfrentado uma multa de sete dígitos ou mais, sob o Child Online Privacy Protection Act (COPPA). No passado, o Google e o YouTube foram penalizados pelas agências de aplicação da lei dos EUA por não cumprirem a COPPA, mas tal lei só foi discutida na Índia. No momento, as leis de proteção de dados não cobrem casos de dados de menores armazenados de maneira não segura.
De fato, sem tal lei, plataformas que armazenam dados de forma insegura podem nem ser penalizadas pelo governo, cabendo aos próprios usuários, cujos dados foram expostos, tomar qualquer ação judicial contra tais vazamentos.