Özel: Edtech Startup 50K'dan Fazla Okul Çocuğunun Verilerini Sızdırdı, Devlet Yetkilileri
Yayınlanan: 2020-03-14Veriler tıbbi kayıtları, fotoğrafları, pasaport taramalarını ve 50 bin okul çocuğundan fazlasını içeriyor
Veritabanı ilk olarak İngiltere merkezli siber güvenlik araştırmacısı Roni Suchowski tarafından keşfedildi.
Koronavirüs karantinalarının ortasında, birçok okul çevrimiçi eğitim platformlarını kullanarak ders gönderiyor
Hintli şirketlerin gizliliği yeterince ciddiye almadığını gösteren bir başka olayda, Gurugram tabanlı çevrimiçi okul yönetim platformu Skolaro, veritabanını depoladıktan sonra yaklaşık 100 Hint okulunda eğitim gören 50.000'den fazla öğrenciye, ebeveynleri ve öğretmenlere ait verileri ifşa etti. güvenli olmayan sunucular
Veritabanı ilk olarak İngiltere merkezli bir siber güvenlik araştırmacısı Roni Suchowski tarafından keşfedildi ve veritabanında korumasız olarak yatan 130 binden fazla kullanıcı kimliği ve şifresi olduğunu söyledi. Bu kullanıcı adlarının her biri, Skolaro'nun platformunun mevcut veya eski bir kullanıcısına ait ve Suchowski, temel web geliştirme bilgisine sahip herkesin veritabanına kolayca bakabileceğini söyledi.
Inc42 , veritabanının kullanıcı adları, şifreler, yaş, kan grubu, din, adres, kayıt numarası, okul adı, doğum tarihi, sınıflar, profil resmi ve diğer ayrıntıları içerdiğini onaylayabilir. Aynı zamanda bazı öğrencilerin tıbbi geçmişini de içerir ve bu da onu kimlik hırsızlığı ve diğer suç eylemleri için uygun hale getirir.
“Veritabanında tek bir öğrencinin yüzlerce fotoğrafı mevcut. Rastgele kontrol ettim ve neredeyse her gün bir anaokulunda bir aktiviteye dalmış bir çocuğun resmini gördüm," dedi Suchowski. Ayrıca, Skolaro ile ortak okullardaki öğretmenlerin maaşları da dahil olmak üzere kişisel bilgileri de ifşa edildi.
Araştırmacı, ağlardaki ve sunuculardaki tehditleri veya savunmasız noktaları saptamak için interneti tarayan bir siber güvenlik hizmeti tarafından Skolaro'nun güvenli olmayan sunucusuna karşı uyarıldığını söyledi. Ayrıca bazı veritabanlarının geçişler sırasında şifresiz kaldığını da açıkladı.
Kamu Görevlilerinin Açıklanan Verileri
Inc42 , siber güvenlik uzmanı Rajshehkar Rajaharia aracılığıyla güvenli olmayan veritabanını bağımsız olarak doğruladı. Rajaharia, veritabanının boyutunun yaklaşık 1,3 GB olduğunu söyledi. Veri tabanında öğrencilerin yanı sıra Skolaro'ya kayıtlı veli ve öğretmenlere ilişkin kişisel veriler de mevcuttu.
Inc42'nin araştırma bölümü DataLabs, sunucudaki tüm kullanıcılara ait verileri başarıyla indirmeyi başardı. İsimler, kullanıcı kimlikleri, şifreler, e-posta kimlikleri, telefon numaraları, meslekler, yıllık gelirler, eğitim nitelikleri gibi bilgileri diğer detayların yanı sıra kolayca bulabildik. Ayrıca seçmen kimlikleri, Aadhaar kartları, pasaportlar, doğum belgesi ve ikametgah kanıtı gibi belgeler de veri tabanında korumasız kaldı. DataLabs , verileri yalnızca veritabanının teyidi için indirmişti.
Sızdırılan veriler, geçen yıla kadar merkezi hükümetin en yüksek ofislerinden bazılarında çalışmış olanlar da dahil olmak üzere eski hükümet yetkililerinin ayrıntılarını içeriyor. Inc42 , sorumlu raporlama adına bu yetkililerin isimlerini veremez.
Suchowski, Hintlilerin ayrıntılarının yanı sıra, veri tabanında İngiltere'de ikamet edenlere ait yaklaşık 90 adet taranmış pasaport kopyası bulunduğunu söyledi. Genel olarak, veritabanı 1300'den fazla pasaport taraması içeriyor.
Sizin için tavsiye edilen:
Müşterilerinizi Aktif Olarak Dinlemek Girişiminizin Büyümesine Nasıl Yardımcı Olabilir?
RBI'nin Hesap Toplayıcı Çerçevesi Hindistan'da Fintech'i Dönüştürmek İçin Nasıl Ayarlandı?
Girişimciler 'Jugaad' Yoluyla Sürdürülebilir, Ölçeklenebilir Girişimler Yaratamaz: Cit...
Metaverse Hindistan Otomobil Endüstrisini Nasıl Dönüştürecek?
Anti-Profiteing Hükmü Hintli Startuplar İçin Ne Anlama Geliyor?
Edtech Startup'ları Hindistan'ın İşgücünün Becerilerini Geliştirmesine ve Geleceğe Hazır Olmasına Nasıl Yardımcı Oluyor?
Şu anda bu verilerin üçüncü şahıslar tarafından elde edildiğine dair bir kanıt bulunmadığına dikkat edilmelidir.
Suchowski ve Inc42 , platformundan veri sızıntısı olasılığını bildirmek için bağımsız olarak Skolaro ile iletişime geçti. Skolaro'da bir yazılım geliştiricisi olan Shailendra Singh Naruka, 9 Mart'ta bir e-postada Suchowski'ye, güvenli olmayan sunucuların üst yönetimin dikkatine sunulacağına dair güvence vermişti. Ancak şu ana kadar herhangi bir işlem yapılmadı.
Skolaro bize veritabanını güvence altına alacağını söyledi, ancak ihlalin bildirilmesinden üç gün sonra bile herhangi bir adım atmadı. Eylemsizlik, şirketin para ödeyen ve verilerinin ve savunmasız çocuklarının güvenli bir şekilde saklandığından emin olan kullanıcılara karşı sorumluluğunu ne kadar ciddiye aldığını sorguluyor.
Edtech Platformları, Coronavirus Evlat Edinmeyi Artırırken Verileri Güvende Tutabilir mi?
Endişe verici olan, koronavirüs pandemisine yanıt olarak dünya çapında karantina ile birçok okulun çevrimiçi öğrenme yönetim sistemlerini kullanmayı tercih etmesi veya video konferans araçları aracılığıyla ders vermesidir. Aslında, Skolaro ve diğer benzer teklifler, raporlara göre bu kriz sırasında daha fazla çekiş görüyor.
Mumbai merkezli Utpal Shanghvi Global School'un müdürü Rakhi Mukherjee, TOI'ye bu hafta okulun öğrencilerine ödev göndermek için Skolaro'yu kullandığını söyledi. “Öğrencilerin evde kalmaları, çevrimiçi okul bilgi yönetimi yazılımımız Skolaro aracılığıyla önlerine çıkan birçok işi beklemeleri, böylece evden çalışmaya devam edebilmeleri ve gelecek sınavlara hazırlanabilmeleri bekleniyor” dedi.
Ancak, Skolaro'nun bu ev ödevlerine ve öğrencilerine internet üzerinden erişilebilen güvenli olmayan sunucularda veri kaydetmesi. Okullar ayrıca koronavirüs salgını sırasında öğrencileriyle bağlantı kurmak için diğer edtech platformlarına güveniyor ve birçoğu geçici olarak ücretsiz hizmet ve ürünler sunuyor.
Okulların kapatılmasıyla birlikte, koronavirüs pandemisinin ortasında Hindistan'ın birçok bölgesinde önümüzdeki birkaç ay içinde öğrenci gelişimi, dersler ve diğer bilgilerle ilgili veri hacminin önemli ölçüde artması beklenebilir. Bu platformlardan kaçının bu hassas verilere hak ettiği saygı ve güvenlikle muamele ettiğini göreceğiz.
Hindistan'da son birkaç yılda veri ihlallerinin sayısı arttı. En son Hindistan Veri Güvenliği Konseyi (DSCI) raporuna göre Hindistan, 2016-2018 yılları arasında siber saldırılardan en çok etkilenen ikinci ülke olarak belirlendi.
Örneğin, ABD yasalarına göre, Skolaro, her ihlal durumu için büyük bir ceza ödemek zorunda kalacaktı ve her kullanıcı için açıkta kalan veri miktarı göz önüne alındığında, şirket, altında yedi haneli veya daha yüksek bir para cezasıyla karşı karşıya kalabilirdi. Çocuk Çevrimiçi Gizliliğini Koruma Yasası (COPPA). Geçmişte Google ve YouTube, COPPA'ya uymadıkları için ABD kolluk kuvvetleri tarafından cezalandırılmıştı, ancak böyle bir yasa yalnızca Hindistan'da tartışıldı. Şu anda, veri koruma yasaları, reşit olmayanların verilerinin güvenli olmayan bir şekilde saklandığı durumları kapsamamaktadır.
Aslında böyle bir yasa olmadığında, verileri güvenli olmayan bir şekilde depolayan platformlar devlet tarafından cezalandırılmayabilir, hatta bu tür sızıntılara karşı yasal işlem yapmak, verileri ifşa edilen kullanıcılara bırakılmıştır.