Exclusiv: Startup Edtech divulgă date despre peste 50.000 de școlari, oficiali guvernamentali

Într-un alt incident care indică faptul că companiile indiene nu iau în serios confidențialitatea, platforma de management școlară online bazată pe Gurugram Skolaro a expus date aparținând a peste 50.000 de studenți care studiază în aproximativ 100 de școli indiene, părinții lor, precum și profesori, după ce și-a stocat baza de date în servere nesecurizate.

Baza de date a fost descoperită pentru prima dată de un cercetător în domeniul securității cibernetice din Marea Britanie, Roni Suchowski, care a spus că are, de asemenea, peste 130.000 de ID-uri de utilizator și parole care zac neprotejate în baza de date. Fiecare dintre aceste nume de utilizator aparține unui utilizator actual sau fost al platformei lui Skolaro, iar Suchowski a spus că oricine are cunoștințe de bază despre dezvoltarea web poate arunca cu ușurință o privire la baza de date.

Inc42 poate confirma că baza de date conține nume de utilizator, parole, vârstă, grupă de sânge, religie, adresă, număr de admitere, numele școlii, data nașterii, note, imagine de profil, printre alte detalii. Conține, de asemenea, istoricul medical al unor studenți, făcându-l pregătit pentru furt de identitate și alte acte criminale.

„Sute de fotografii ale unui singur student sunt disponibile în baza de date. Am verificat la întâmplare și am văzut aproape în fiecare zi o fotografie cu un copil care se deda cu o activitate la o grădiniță”, a spus Suchowski. Mai mult, au fost expuse și detalii personale ale profesorilor din școlile partenere cu Skolaro, inclusiv salariile acestora.

Cercetătorul ne-a spus că a fost alertat cu privire la serverul nesecurizat al lui Skolaro de către un serviciu de securitate cibernetică care scanează internetul pentru a identifica amenințările sau punctele vulnerabile din rețele și servere. El a mai explicat că unele baze de date rămân fără parolă în timpul migrărilor.

Datele oficialilor guvernamentali expuse

Inc42 a verificat independent baza de date nesecurizată prin expertul în securitate cibernetică Rajshehkar Rajaharia. Rajaharia a spus că dimensiunea bazei de date este de aproximativ 1,3 GB. Pe lângă studenți, în baza de date au fost disponibile și date personale legate de părinți și profesori înregistrați pe Skolaro.

Divizia de cercetare a DataLabs, Inc42 a reușit, de asemenea, să descarce cu succes date care aparțin tuturor utilizatorilor de pe server. Am putut găsi cu ușurință informații precum nume, ID-uri de utilizator, parole, ID-uri de e-mail, numere de telefon, profesii, venituri anuale, calificări educaționale, printre alte detalii. În plus, documente cum ar fi actele de identitate ale alegătorului, cărțile Aadhaar, pașapoartele, certificatul de naștere și dovada reședinței au fost, de asemenea, lăsate neprotejate în baza de date. DataLabs descărcase datele doar pentru confirmarea bazei de date.

Datele scurse includ detalii despre foști oficiali guvernamentali, inclusiv despre cei care au lucrat în unele dintre cele mai înalte birouri din guvernul central până la sfârșitul anului trecut. De dragul unei raportări responsabile, Inc42 nu poate numi acești oficiali.

Suchowski a spus că, pe lângă detaliile indienilor, existau aproximativ 90 de copii scanate ale pașapoartelor disponibile în baza de date, care aparțin rezidenților Regatului Unit. În general, baza de date conține peste 1300 de scanări ale pașapoartelor.

Recomandat pentru tine:

Resurse

Cât de activ ascultarea clienților vă poate ajuta startup-ul să se dezvolte

Ratish P.

31 iulie 2022

Resurse

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India

Amit Das

31 iulie 2022

Știri

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...

Jaspreet K.

31 iulie 2022

Resurse

Cum va transforma Metaverse industria auto din India

Vaibhav S.

31 iulie 2022

Resurse

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?

Charanya L.

31 iulie 2022

Resurse

Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...

Ankush S.

31 iulie 2022

Trebuie remarcat faptul că în acest moment nu există dovezi că aceste date au fost obținute de terți.

Suchowski și Inc42 au contactat Skolaro independent pentru a raporta potențialul de scurgere de date din platforma sa. Shailendra Singh Naruka, un dezvoltator de software la Skolaro, l-a asigurat pe Suchowski într-un e-mail pe 9 martie că serverele nesecurizate vor fi aduse la cunoștința conducerii de top. Cu toate acestea, până acum nu s-a luat nicio măsură.

Skolaro ne-a spus că va securiza baza de date, dar nu a luat niciun pas nici măcar la trei zile după ce a fost notificat cu privire la încălcare. Inacțiunea pune sub semnul întrebării cât de serios își asumă compania responsabilitatea față de utilizatorii care au plătit bani și au fost asigurați că datele lor și ale copiilor lor vulnerabili sunt stocate în siguranță.

Pot platformele Edtech să păstreze datele în siguranță, deoarece Coronavirusul stimulează adopția?

Ceea ce este îngrijorător este că, odată cu carantina din întreaga lume, ca răspuns la pandemia de coronavirus, multe școli au ales să folosească sisteme de management al învățării online sau oferă lecții prin instrumente de videoconferință. De fapt, Skolaro și alte oferte similare înregistrează mai multă tracțiune în timpul acestei crize, conform rapoartelor.

Rakhi Mukherjee, directorul școlii globale Utpal Shanghvi din Mumbai, a declarat săptămâna aceasta TOI că școala folosește Skolaro pentru a trimite teme elevilor săi. „Se așteaptă ca studenții să rămână acasă, să așteaptă o mulțime de muncă prin Skolaro, software-ul nostru online de gestionare a informațiilor școlare, astfel încât să poată continua să lucreze de acasă și să se pregătească pentru examenele viitoare”, a spus ea.

Cu toate acestea, faptul că Skolaro salvează date despre aceste teme și studenți pe servere nesecurizate accesibile pe internet. De asemenea, școlile se bazează pe alte platforme edtech pentru a se conecta cu elevii lor pe fondul epidemiei de coronavirus, iar multe dintre ele oferă temporar servicii și produse gratuite.

Odată cu închiderea școlilor, ne putem aștepta ca volumul de date referitoare la progresul elevilor, lecțiile și alte informații să crească substanțial în următoarele câteva luni în multe părți ale Indiei, pe fondul pandemiei de coronavirus. Rămâne de văzut câte dintre aceste platforme tratează aceste date sensibile cu respectul și securitatea pe care le merită.

Numărul de încălcări ale datelor a crescut în ultimii ani în India. Potrivit celui mai recent raport al Consiliului Indiei de Securitate a Datelor (DSCI), India a fost identificată drept a doua țară ca fiind afectată de atacuri cibernetice între 2016 și 2018.

În conformitate cu legislația SUA, de exemplu, Skolaro ar fi trebuit să plătească o penalizare masivă pentru fiecare caz de încălcare și, având în vedere cantitatea de date care a fost lăsată expusă pentru fiecare utilizator, compania s-ar fi putut confrunta chiar cu o amendă de șapte cifre sau mai mare, în temeiul legii americane. Legea privind protecția confidențialității online a copiilor (COPPA). În trecut, Google și YouTube au fost sancționate de agențiile de aplicare a legii din SUA pentru nerespectarea COPPA, dar o astfel de lege a fost discutată doar în India. În prezent, legile privind protecția datelor nu acoperă cazurile în care datele minorilor sunt stocate într-un mod nesecurizat.

De fapt, fără o astfel de lege, platformele care stochează date într-o manieră nesecurizată s-ar putea să nu fie nici măcar sancționate de guvern, fiind lăsat la latitudinea utilizatorilor, ale căror date au fost expuse, să ia orice acțiune legală împotriva unor astfel de scurgeri.