• 主頁
  • 文章
  • 科技類
  • 獨家:教育科技初創公司洩露了超過 5 萬名學童和政府官員的數據

獨家:教育科技初創公司洩露了超過 5 萬名學童和政府官員的數據

已發表: 2020-03-14

這些數據包括 5 萬名學童的醫療記錄、照片、護照掃描等

該數據庫由英國網絡安全研究員 Roni Suchowski 首次發現

在冠狀病毒隔離期間,許多學校正在使用在線教育平台發送課程

在另一起事件中,印度公司沒有足夠重視隱私,基於 Gurugram 的在線學校管理平台 Skolaro 在將其數據庫存儲在不安全的服務器。

該數據庫最初是由英國網絡安全研究員 Roni Suchowski 發現的,他說它還有超過 13 萬個用戶 ID 和密碼,這些用戶 ID 和密碼在數據庫中不受保護。 這些用戶名中的每一個都屬於 Skolaro 平台的當前或以前的用戶,Suchowski 說任何具有 Web 開發基本知識的人都可以輕鬆查看數據庫。

Inc42可以確認數據庫包含用戶名、密碼、年齡、血型、宗教、地址、錄取號碼、學校名稱、出生日期、成績、個人資料圖像以及其他詳細信息。 它還包含一些學生的病史,使其成為身份盜竊和其他犯罪行為的成熟時機。

“數據庫中有數百張單個學生的照片。 我隨機查看,幾乎每天都看到一張孩子在某家幼兒園沉迷於某種活動的照片,”Suchowski 說。 此外,Skolaro 合作學校教師的個人信息,包括他們的薪水,也被曝光。

研究人員告訴我們,他通過掃描互聯網以查明網絡和服務器中的威脅或脆弱點的網絡安全服務向 Skolaro 的不安全服務器發出警報。 他還解釋說,一些數據庫在遷移過程中沒有密碼。

政府官員數據曝光

Inc42通過網絡安全專家 Rajshehkar Rajaharia 獨立驗證了不安全的數據庫。 Rajaharia 說數據庫的大小約為 1.3 GB。 除了學生,在 Skolaro 上註冊的家長和老師的個人數據也可以在數據庫中找到。

DataLabs, Inc42 的研究部門還能夠成功下載服務器上所有用戶的數據。 我們很容易找到諸如姓名、用戶 ID、密碼、電子郵件 ID、電話號碼、職業、年收入、教育資格等信息。 此外,選民身份證、Aadhaar 卡、護照、出生證明和居住證明等文件也在數據庫中不受保護。 DataLabs下載數據只是為了確認數據庫。

洩露的數據包括前政府官員的詳細信息,包括那些直到去年還在中央政府一些最高職位工作的官員。 為了負責任的報導, Inc42無法說出這些官員的名字。

蘇科夫斯基說,除了印度人的詳細信息外,數據庫中還有大約 90 份屬於英國居民的護照掃描件。 總體而言,該數據庫包含超過 1300 份護照掃描件。

為你推薦:

積極傾聽您的客戶如何幫助您的創業公司成長
資源

積極傾聽您的客戶如何幫助您的創業公司成長

RBI 的賬戶聚合器框架將如何改變印度的金融科技
資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:CitiusTech 首席執行官
消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:Cit...

元界將如何改變印度汽車業
資源

元界將如何改變印度汽車業

反暴利條款對印度初創企業意味著什麼?
資源

反暴利條款對印度初創企業意味著什麼?

Edtech 初創公司如何幫助提高技能並使勞動力為未來做好準備
資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

Solaro 的數據庫中可見的個人詳細信息

必須注意的是,目前沒有證據表明這些數據是由第三方獲得的。

Suchowski 和Inc42獨立聯繫了 Skolaro,以報告其平台數據洩露的可能性。 Skolaro 的軟件開發人員 Shailendra Singh Naruka 在 3 月 9 日的一封電子郵件中向 Suchowski 保證,將提請最高管理層注意這些不安全的服務器。 但是,到目前為止,還沒有採取任何行動。

Skolaro 告訴我們它將保護數據庫,但即使在收到違規通知三天后,它也沒有採取任何措施。 這種不作為讓人質疑該公司對已付款並已確保他們的數據及其弱勢兒童的數據得到安全存儲的用戶的責任有多認真。

印度數據洩露
Skolaro 數據庫中提供的護照

隨著冠狀病毒的普及,Edtech 平台能否保證數據安全?

令人擔憂的是,隨著全球範圍內為應對冠狀病毒大流行而進行的隔離,許多學校選擇使用在線學習管理系統或通過視頻會議工具提供課程。 事實上,據報導,在這場危機中,Skolaro 和其他類似產品的吸引力越來越大。

孟買 Utpal Shanghvi 全球學校的校長 Rakhi Mukherjee 本週告訴 TOI,學校正在使用 Skolaro 向學生髮送家庭作業。 “學生們應該呆在家裡,等待通過我們的在線學校信息管理軟件 Skolaro 完成的大量工作,這樣他們就可以繼續在家工作,為即將到來的考試做準備,”引述她的話說。

然而,Skolaro 將這些家庭作業和學生的數據保存在互聯網上可訪問的不安全服務器上。 在冠狀病毒爆發期間,學校還依靠其他教育技術平台與學生聯繫,其中許多學校暫時免費提供服務和產品。

隨著學校的關閉,人們可以預期,在冠狀病毒大流行的情況下,未來幾個月印度許多地區與學生進步、課程和其他信息相關的數據量將大幅增加。 這些平台中有多少以應有的尊重和安全性對待這些敏感數據還有待觀察。

在過去的幾年裡,印度的數據洩露事件有所增加。 根據印度數據安全委員會 (DSCI) 的最新報告,印度已被確定為 2016 年至 2018 年間受網絡攻擊影響第二大的國家。

例如,根據美國法律,Skolaro 必須為每次違規行為支付巨額罰款,並且考慮到每個用戶暴露的數據量,該公司甚至可能面臨七位數或更高的罰款,根據兒童在線隱私保護法 (COPPA)。 過去,Google 和 YouTube 曾因不遵守 COPPA 而受到美國執法機構的處罰,但此類法律僅在印度進行過討論。 目前,數據保護法不涵蓋以不安全方式存儲未成年人數據的情況。

事實上,如果沒有這樣的法律,以不安全的方式存儲數據的平台甚至可能不會受到政府的懲罰,而是留給數據暴露的用戶對此類洩漏採取任何法律行動。