พิเศษ: Edtech Startup รั่วข้อมูลเด็กนักเรียนกว่า 50,000 คน เจ้าหน้าที่รัฐบาล

เผยแพร่แล้ว: 2020-03-14

ข้อมูลดังกล่าวรวมถึงเวชระเบียน ภาพถ่าย การสแกนหนังสือเดินทาง และอื่นๆ ของเด็กนักเรียน 50,000 คน

ฐานข้อมูลนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์จากสหราชอาณาจักร Roni Suchowski

ท่ามกลางการกักกันโคโรนาไวรัส โรงเรียนหลายแห่งกำลังส่งบทเรียนโดยใช้แพลตฟอร์มการศึกษาออนไลน์

ในอีกเหตุการณ์หนึ่งที่ชี้ว่าบริษัทอินเดียไม่ให้ความสำคัญกับความเป็นส่วนตัวอย่างจริงจังเพียงพอ Skolaro ซึ่งเป็นแพลตฟอร์มการจัดการโรงเรียนออนไลน์ของ Gurugram ได้เปิดเผยข้อมูลที่เป็นของนักเรียนกว่า 50,000 คนที่กำลังศึกษาอยู่ในโรงเรียนอินเดียประมาณ 100 แห่ง พ่อแม่ของพวกเขา และครู หลังจากจัดเก็บฐานข้อมูลใน เซิร์ฟเวอร์ที่ไม่ปลอดภัย

ฐานข้อมูลถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์จากสหราชอาณาจักร Roni Suchowski ซึ่งกล่าวว่ามี ID ผู้ใช้และรหัสผ่านมากกว่า 130,000 รายการซึ่งไม่ได้ป้องกันไว้บนฐานข้อมูล ชื่อผู้ใช้แต่ละชื่อเหล่านี้เป็นของผู้ใช้ปัจจุบันหรืออดีตผู้ใช้แพลตฟอร์มของ Skolaro และ Suchowski กล่าวว่าทุกคนที่มีความรู้พื้นฐานเกี่ยวกับการพัฒนาเว็บสามารถดูฐานข้อมูลได้อย่างง่ายดาย

Inc42 สามารถยืนยันได้ว่าฐานข้อมูลประกอบด้วยชื่อผู้ใช้ รหัสผ่าน อายุ กรุ๊ปเลือด ศาสนา ที่อยู่ เลขที่รับเข้าเรียน ชื่อโรงเรียน วันเกิด เกรด รูปโปรไฟล์ รวมถึงรายละเอียดอื่นๆ นอกจากนี้ยังมีประวัติทางการแพทย์ของนักเรียนบางคน ทำให้สุกงอมสำหรับการโจรกรรมข้อมูลประจำตัวและการก่ออาชญากรรมอื่นๆ

“ภาพถ่ายของนักเรียนคนเดียวหลายร้อยภาพมีอยู่ในฐานข้อมูล ฉันสุ่มตรวจและเห็นภาพของเด็กที่ทำกิจกรรมบางอย่างในโรงเรียนอนุบาลเกือบทุกวัน” สุชอว์สกีกล่าว นอกจากนี้ ยังมีการเปิดเผยรายละเอียดส่วนบุคคลของครูในโรงเรียนที่เป็นพันธมิตรกับสโกลาโร รวมทั้งเงินเดือนของพวกเขาด้วย

นักวิจัยบอกเราว่าเขาได้รับการแจ้งเตือนไปยังเซิร์ฟเวอร์ที่ไม่ปลอดภัยของ Skolaro โดยบริการรักษาความปลอดภัยทางไซเบอร์ที่สแกนอินเทอร์เน็ตเพื่อระบุภัยคุกคามหรือจุดเสี่ยงในเครือข่ายและเซิร์ฟเวอร์ เขายังอธิบายด้วยว่าฐานข้อมูลบางส่วนถูกทิ้งไว้โดยไม่มีรหัสผ่านในระหว่างการโยกย้าย

ข้อมูลเจ้าหน้าที่ของรัฐเปิดเผย

Inc42 ตรวจสอบฐานข้อมูลที่ไม่ปลอดภัยโดยอิสระผ่าน Rajshehkar Rajaharia ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Rajaharia กล่าวว่าขนาดของฐานข้อมูลประมาณ 1.3 GB นอกจากนักเรียนแล้ว ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับผู้ปกครองและครูที่ลงทะเบียนกับ Skolaro ก็ยังมีอยู่ในฐานข้อมูลด้วย

DataLabs แผนกวิจัยของ Inc42 ยังสามารถดาวน์โหลดข้อมูลที่เป็นของผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ได้สำเร็จ เราสามารถหาข้อมูลได้อย่างง่ายดาย เช่น ชื่อ, ID ผู้ใช้, รหัสผ่าน, ID อีเมล, หมายเลขโทรศัพท์, อาชีพ, รายได้ประจำปี, คุณสมบัติทางการศึกษา, รวมถึงรายละเอียดอื่นๆ นอกจากนี้ เอกสารต่างๆ เช่น บัตรประจำตัวผู้มีสิทธิเลือกตั้ง บัตร Aadhaar หนังสือเดินทาง สูติบัตร และหลักฐานแสดงถิ่นที่อยู่ ก็ยังไม่ได้รับการปกป้องในฐานข้อมูล DataLabs ดาวน์โหลดข้อมูลเพื่อยืนยันฐานข้อมูลเท่านั้น

ข้อมูลรั่วไหลรวมถึงรายละเอียดของอดีตเจ้าหน้าที่ของรัฐ รวมถึงผู้ที่เคยทำงานในสำนักงานระดับสูงบางแห่งในรัฐบาลกลางจนถึงปลายปีที่แล้ว เพื่อประโยชน์ในการรายงานอย่างมีความรับผิดชอบ Inc42 ไม่สามารถตั้งชื่อเจ้าหน้าที่เหล่านี้ได้

Suchowski กล่าวว่านอกจากรายละเอียดของชาวอินเดียแล้ว ยังมีสำเนาหนังสือเดินทางที่สแกนแล้วประมาณ 90 ชุดในฐานข้อมูลที่เป็นของชาวสหราชอาณาจักร โดยรวมแล้ว ฐานข้อมูลมีการสแกนหนังสือเดินทางมากกว่า 1300 รายการ

แนะนำสำหรับคุณ:

การรับฟังลูกค้าอย่างกระตือรือร้นจะช่วยให้สตาร์ทอัพของคุณเติบโตได้อย่างไร

การรับฟังลูกค้าอย่างกระตือรือร้นจะช่วยให้สตาร์ทอัพของคุณเติบโตได้อย่างไร

วิธีที่กรอบงานผู้รวบรวมบัญชีของ RBI ถูกตั้งค่าให้เปลี่ยน Fintech ในอินเดีย

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

รายละเอียดส่วนบุคคลปรากฏในฐานข้อมูลของ Skolaro

ต้องสังเกตว่าขณะนี้ไม่มีหลักฐานว่าบุคคลที่สามได้รับข้อมูลนี้แล้ว

Suchowski และ Inc42 ติดต่อ Skolaro อย่างอิสระเพื่อรายงานความเป็นไปได้ของการรั่วไหลของข้อมูลจากแพลตฟอร์ม Shailendra Singh Naruka ผู้พัฒนาซอฟต์แวร์ที่ Skolaro ได้ยืนยันกับ Suchowski ในอีเมลเมื่อวันที่ 9 มีนาคมว่าเซิร์ฟเวอร์ที่ไม่ปลอดภัยจะถูกแจ้งจากผู้บริหารระดับสูง อย่างไรก็ตาม ยังไม่มีการดำเนินการใดๆ จนถึงขณะนี้

Skolaro บอกกับเราว่าจะรักษาความปลอดภัยให้กับฐานข้อมูล แต่ไม่ได้ดำเนินการใดๆ แม้แต่สามวันหลังจากที่ได้รับแจ้งถึงการละเมิด การไม่ดำเนินการดังกล่าวทำให้เกิดคำถามว่าบริษัทให้ความสำคัญกับความรับผิดชอบต่อผู้ใช้ที่จ่ายเงินไปแล้วอย่างจริงจังเพียงใด และมั่นใจได้ว่าข้อมูลของตนและของบุตรหลานที่มีช่องโหว่จะได้รับการจัดเก็บไว้อย่างปลอดภัย

การละเมิดข้อมูลอินเดีย
หนังสือเดินทางที่มีอยู่ในฐานข้อมูล Skolaro

แพลตฟอร์ม Edtech สามารถรักษาข้อมูลให้ปลอดภัยในขณะที่ Coronavirus ช่วยเพิ่มการยอมรับได้หรือไม่

สิ่งที่น่ากังวลก็คือ การกักกันทั่วโลกเพื่อตอบสนองต่อการระบาดใหญ่ของโคโรนาไวรัส โรงเรียนหลายแห่งเลือกใช้ระบบการจัดการการเรียนรู้ออนไลน์หรือกำลังจัดเตรียมบทเรียนผ่านเครื่องมือการประชุมทางวิดีโอ ในความเป็นจริง Skolaro และข้อเสนออื่น ๆ ที่คล้ายคลึงกันได้รับแรงฉุดมากขึ้นในช่วงวิกฤตนี้ตามรายงาน

Rakhi Mukherjee ผู้อำนวยการโรงเรียน Utpal Shanghvi Global School ในเมืองมุมไบ บอกกับ TOI ในสัปดาห์นี้ว่าโรงเรียนกำลังใช้ Skolaro เพื่อส่งการบ้านให้นักเรียน “นักเรียนถูกคาดหวังให้อยู่บ้าน รองานจำนวนมากที่กำลังจะเกิดขึ้นผ่าน Skolaro ซึ่งเป็นซอฟต์แวร์การจัดการข้อมูลโรงเรียนออนไลน์ของเรา เพื่อให้พวกเขาสามารถทำงานจากที่บ้านและเตรียมตัวสำหรับการสอบที่กำลังจะมาถึง” เธอกล่าว

อย่างไรก็ตาม ความจริงที่ว่า Skolaro กำลังบันทึกข้อมูลการบ้านเหล่านี้และนักเรียนบนเซิร์ฟเวอร์ที่ไม่ปลอดภัยที่สามารถเข้าถึงได้บนอินเทอร์เน็ต โรงเรียนยังพึ่งพาแพลตฟอร์ม edtech อื่นๆ เพื่อเชื่อมต่อกับนักเรียนของพวกเขาท่ามกลางการระบาดของ coronavirus และหลายแห่งเสนอบริการและผลิตภัณฑ์โดยไม่คิดค่าใช้จ่ายชั่วคราว

เนื่องจากโรงเรียนต่างๆ ถูกปิดตัวลง คาดว่าปริมาณข้อมูลที่เกี่ยวข้องกับความก้าวหน้าของนักเรียน บทเรียน และข้อมูลอื่นๆ จะเพิ่มขึ้นอย่างมากในช่วง 2-3 เดือนข้างหน้าในหลายพื้นที่ของอินเดียท่ามกลางการระบาดของโคโรนาไวรัส ยังต้องคอยดูว่ามีแพลตฟอร์มจำนวนเท่าใดที่จัดการกับข้อมูลที่ละเอียดอ่อนนี้ด้วยความเคารพและความปลอดภัยที่สมควรได้รับ

จำนวนการละเมิดข้อมูลเพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมาในอินเดีย ตามรายงานล่าสุดของ Data Security Council of India (DSCI) อินเดียได้รับการระบุว่าเป็นประเทศที่มีการโจมตีทางไซเบอร์มากเป็นอันดับสองระหว่างปี 2559 ถึง 2561

ตัวอย่างเช่น ภายใต้กฎหมายของสหรัฐอเมริกา Skolaro จะต้องจ่ายค่าปรับจำนวนมากสำหรับการละเมิดแต่ละครั้ง และเมื่อพิจารณาจากจำนวนข้อมูลที่ถูกเปิดเผยสำหรับผู้ใช้ทุกคน บริษัทอาจต้องเผชิญกับค่าปรับเจ็ดหลักหรือสูงกว่านั้น พระราชบัญญัติคุ้มครองความเป็นส่วนตัวของเด็กออนไลน์ (COPPA) ในอดีต Google และ YouTube ถูกหน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกาลงโทษฐานไม่ปฏิบัติตาม COPPA แต่มีการหารือเกี่ยวกับกฎหมายดังกล่าวในอินเดียเท่านั้น ในขณะนี้ กฎหมายคุ้มครองข้อมูลไม่ครอบคลุมถึงกรณีที่ข้อมูลของผู้เยาว์ถูกจัดเก็บในลักษณะที่ไม่ปลอดภัย

ในความเป็นจริง หากไม่มีกฎหมายดังกล่าว แพลตฟอร์มที่จัดเก็บข้อมูลในลักษณะที่ไม่ปลอดภัยอาจไม่ได้รับการลงโทษจากรัฐบาลด้วยซ้ำ แต่ปล่อยให้ผู้ใช้ที่มีข้อมูลถูกเปิดเผย เพื่อดำเนินการทางกฎหมายกับการรั่วไหลดังกล่าว