Büyük Bir Uygulama Kusuru Milyonlarca Hintli Öğrencinin Verilerini Açığa Çıkardı
Zorunlu bir uygulama, ülke çapındaki öğrencilerin ve öğretmenlerin kişisel bilgilerini bir yılı aşkın bir süre boyunca ifşa etti.
Veriler, Bilgi Paylaşımı için Dijital Altyapı uygulaması veya 2017’de kullanıma sunulan bir halk eğitimi uygulaması olan Diksha tarafından depolanıyordu. öğrencilerin materyallere ve kurs çalışmalarına evden erişmesine izin veren bir araç.
Ancak Diksha’nın verilerini depolayan bir bulut sunucusu korumasız kaldı ve milyonlarca kişinin verileri bilgisayar korsanlarına, dolandırıcılara ve nereye bakacağını bilen neredeyse herkese ifşa oldu.
Güvenli olmayan sunucuda depolanan dosyalar, 1 milyondan fazla öğretmenin tam adlarını, telefon numaralarını ve e-posta adreslerini içeriyordu. WIRED tarafından doğrulanan dosyalardaki verilere göre, öğretmenler Hindistan’ın her eyaletinde bulunan yüzbinlerce okulda çalıştı. Başka bir dosya yaklaşık 600.000 öğrenci hakkında bilgi içeriyordu. Öğrencilerin e-posta adresleri ve telefon numaraları kısmen gizlenirken, veriler arasında öğrencilerin tam adları ve okula gittikleri yer, uygulama aracılığıyla bir kursa ne zaman kaydoldukları ve kursun ne kadarını tamamladıklarına ilişkin bilgiler yer alıyordu.
Açıklığı tespit eden Birleşik Krallık merkezli bir güvenlik araştırmacısına göre, sunucuda bunun gibi binlerce dosya vardı. (Araştırmacı, medyaya konuşma yetkisi olmadığı için isminin verilmemesini istedi.)
Araştırmacı, ifşayı ilk olarak Haziran ayında keşfettikten sonra, Diksha destek e-postasıyla iletişime geçerek onları veri ihlali konusunda uyardı, kaynağı belirledi ve daha fazla bilgi paylaşmayı teklif etti. Cevap alamadılar. Çalışan, açığa çıkan verilerle ilgili olarak “Bir grup başka kişi tarafından erişilip indirilmemiş olma ihtimali sıfır” diyor.
Diksha, ülkenin ulusal tanımlama sistemi olan Aadhar’ın geliştirilmesine yardımcı olan Nandan Nilekani’nin ortak kurduğu bir vakıf olan EkStep tarafından geliştirildi. EkStep’in politika ve ortaklıklar başkanı Deepika Mogilishetty’ye göre, vakıf Diksha’yı uzun yıllardır desteklerken, Hindistan Eğitim Bakanlığı nihayetinde Diksha’da verilerin nasıl yönetildiğine ilişkin güvenlik ve politikaları uyguluyor. Ancak WIRED, güvenli olmayan sunucuya Mogilishetty bağlantıları gönderdikten sonra, hızla çevrimdışı duruma getirildi.
Bu, Diksha’nın hassas bilgileri potansiyel olarak yanlış kullandığı ilk sefer değil. İnsan Hakları İzleme Örgütü’nün 2022 tarihli bir raporu , Diksha’nın yalnızca öğrencilerin konumunu izlemekle kalmayıp Google ile veri paylaştığını da ortaya çıkardı. Pek çok durumda, Hindistan hükümeti öğretmenlerin ve öğrencilerin Diksha’yı kullanmasını zorunlu kıldı ve 2022 raporunu yazan İnsan Hakları İzleme Örgütü araştırmacısı Hye Jung Han, hükümetin Diksha’yı kullanmak istemeyenler için hiçbir alternatif yöntem sağlamadığını söylüyor. uygulama.
Han, “Orada çocuk hakları açısından bakıldığında, her çocuğa ücretsiz eğitim verme sorumluluğunuzu yerine getiriyorsunuz, ancak sunduğunuz tek devlet eğitimi türü, doğası gereği çocuk haklarını ihlal eden bir eğitim” diyor Han. .
Güvenli olmayan depolama sunucusu, Microsoft’un bulut depolama hizmeti olan Azure’da barındırılıyordu. Verilerin ne kadar süre korumasız kaldığı bilinmiyor, ancak Google, Ekim 2018 gibi erken bir tarihte bu sunucudan 100’den fazla dosyayı dizine ekledi. Diğer bir deyişle, bu savunmasız sunucuda depolanan bilgiler muhtemelen en az dört yıl boyunca basit bir Google aramasıyla bulunabilirdi. WIRED, bir Google aramasıyla hassas öğrenci ve öğretmen verilerinin örneklerini bulamazken, hassas verileri içeren dosyalar, güvenlik araştırmacıları ve bilgisayar korsanları arasında popüler olan güvenli olmayan sunucuların aranabilir bir veritabanı olan Grayhat Warfare aracılığıyla indirilebilirdi.
“Çocukların isimleri, iletişim bilgileri, hangi okullara gittikleri hakkında bilginiz varsa, bu size yaşadıkları mahalle hakkında bilgi verir. Bu, geleneksel çocukları koruma endişeleri dediğimiz şeyi gündeme getiriyor” diyor Han. “Ayrıca çocukları ebeveynlerine ulaşmanın bir yolu olarak da kullanabilirler – ne yazık ki Hindistan’da özellikle eğitim verileri konusunda şantaj ve taciz oldukça yaygın.”
Hindistan’da öğrenci verileri pazarı gelişiyor gibi görünüyor. 2020’de Hindistan merkezli bir güvenlik firması olan CloudSEK’teki güvenlik araştırmacıları, Hindistan’ın Ortak Yetenek Testi Sınavına giren yüz binlerce öğrencinin kişisel olarak tanımlayıcı bilgilerinin, sızdırılan veriler için bir forumda satıldığını keşfetti. Bir yıl sonra, India Times , milyonlarca öğrencinin gizli bilgilerinin “studentdatabase.in” adlı bir web sitesinde satıldığını bildirdi.
Han ayrıca, Hindistan’ın gelişmekte olan veri simsarı pazarında, özellikle hazırlık okulları için cazip olabilen, açığa çıkan Diksha sunucusu aracılığıyla sağlanan eğitim verilerinin, tek bir çocuğun verileri için 2 ila 5 rupiye kadar düşebileceğini söylüyor.
Kaynak:
https://www.wired.com/story/diksha-india-education-app-data-exposure/