• 主页
  • 文章
  • 科技类
  • 独家:教育科技初创公司泄露了超过 5 万名学童和政府官员的数据

独家:教育科技初创公司泄露了超过 5 万名学童和政府官员的数据

已发表: 2020-03-14

这些数据包括 5 万名学童的医疗记录、照片、护照扫描等

该数据库由英国网络安全研究员 Roni Suchowski 首次发现

在冠状病毒隔离期间,许多学校正在使用在线教育平台发送课程

在另一起事件中,印度公司没有足够重视隐私,基于 Gurugram 的在线学校管理平台 Skolaro 在将其数据库存储在不安全的服务器。

该数据库最初是由英国网络安全研究员 Roni Suchowski 发现的,他说它还有超过 13 万个用户 ID 和密码,这些用户 ID 和密码在数据库中不受保护。 这些用户名中的每一个都属于 Skolaro 平台的当前或以前的用户,Suchowski 说任何具有 Web 开发基本知识的人都可以轻松查看数据库。

Inc42可以确认数据库包含用户名、密码、年龄、血型、宗教、地址、录取号码、学校名称、出生日期、成绩、个人资料图像以及其他详细信息。 它还包含一些学生的病史,使其成为身份盗窃和其他犯罪行为的成熟时机。

“数据库中有数百张单个学生的照片。 我随机查看,几乎每天都看到一张孩子在某家幼儿园沉迷于某种活动的照片,”Suchowski 说。 此外,Skolaro 合作学校教师的个人信息,包括他们的薪水,也被曝光。

研究人员告诉我们,他通过扫描互联网以查明网络和服务器中的威胁或脆弱点的网络安全服务向 Skolaro 的不安全服务器发出警报。 他还解释说,一些数据库在迁移过程中没有密码。

政府官员数据曝光

Inc42通过网络安全专家 Rajshehkar Rajaharia 独立验证了不安全的数据库。 Rajaharia 说数据库的大小约为 1.3 GB。 除了学生,在 Skolaro 上注册的家长和老师的个人数据也可以在数据库中找到。

DataLabs, Inc42 的研究部门还能够成功下载服务器上所有用户的数据。 我们很容易找到诸如姓名、用户 ID、密码、电子邮件 ID、电话号码、职业、年收入、教育资格等信息。 此外,选民身份证、Aadhaar 卡、护照、出生证明和居住证明等文件也在数据库中不受保护。 DataLabs下载数据只是为了确认数据库。

泄露的数据包括前政府官员的详细信息,包括那些直到去年还在中央政府一些最高职位工作的官员。 为了负责任的报道, Inc42无法说出这些官员的名字。

苏科夫斯基说,除了印度人的详细信息外,数据库中还有大约 90 份属于英国居民的护照扫描件。 总体而言,该数据库包含超过 1300 份护照扫描件。

为你推荐:

积极倾听您的客户如何帮助您的创业公司成长
资源

积极倾听您的客户如何帮助您的创业公司成长

RBI 的账户聚合器框架将如何改变印度的金融科技
资源

RBI 的账户聚合器框架将如何改变印度的金融科技

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

Solaro 的数据库中可见的个人详细信息

必须注意的是,目前没有证据表明这些数据是由第三方获得的。

Suchowski 和Inc42独立联系了 Skolaro,以报告其平台数据泄露的可能性。 Skolaro 的软件开发人员 Shailendra Singh Naruka 在 3 月 9 日的一封电子邮件中向 Suchowski 保证,将提请最高管理层注意这些不安全的服务器。 但是,到目前为止,还没有采取任何行动。

Skolaro 告诉我们它将保护数据库,但即使在收到违规通知三天后,它也没有采取任何措施。 这种不作为让人质疑该公司对已付款并已确保他们的数据及其弱势儿童的数据得到安全存储的用户的责任有多认真。

印度数据泄露
Skolaro 数据库中提供的护照

随着冠状病毒的普及,Edtech 平台能否保证数据安全?

令人担忧的是,随着全球范围内为应对冠状病毒大流行而进行的隔离,许多学校选择使用在线学习管理系统或通过视频会议工具提供课程。 事实上,据报道,在这场危机中,Skolaro 和其他类似产品的吸引力越来越大。

孟买 Utpal Shanghvi 全球学校的校长 Rakhi Mukherjee 本周告诉 TOI,学校正在使用 Skolaro 向学生发送家庭作业。 “学生们应该待在家里,等待通过我们的在线学校信息管理软件 Skolaro 完成的大量工作,这样他们就可以继续在家工作,为即将到来的考试做准备,”引述她的话说。

然而,Skolaro 将这些家庭作业和学生的数据保存在互联网上可访问的不安全服务器上。 在冠状病毒爆发期间,学校还依靠其他教育技术平台与学生联系,其中许多学校暂时免费提供服务和产品。

随着学校的关闭,人们可以预期,在冠状病毒大流行的情况下,未来几个月印度许多地区与学生进步、课程和其他信息相关的数据量将大幅增加。 这些平台中有多少以应有的尊重和安全性对待这些敏感数据还有待观察。

在过去的几年里,印度的数据泄露事件有所增加。 根据印度数据安全委员会 (DSCI) 的最新报告,印度已被确定为 2016 年至 2018 年间受网络攻击影响第二大的国家。

例如,根据美国法律,Skolaro 必须为每次违规行为支付巨额罚款,并且考虑到每个用户暴露的数据量,该公司甚至可能面临七位数或更高的罚款,根据儿童在线隐私保护法 (COPPA)。 过去,Google 和 YouTube 曾因不遵守 COPPA 而受到美国执法机构的处罚,但此类法律仅在印度进行过讨论。 目前,数据保护法不涵盖以不安全方式存储未成年人数据的情况。

事实上,如果没有这样的法律,以不安全的方式存储数据的平台甚至可能不会受到政府的惩罚,而是留给数据暴露的用户对此类泄漏采取任何法律行动。