Luka w zabezpieczeniach w aplikacji obsługiwanej przez indyjskie Ministerstwo Edukacji ujawniało dane osobowe milionów uczniów i nauczycieli przez ponad rok.
Dane były przechowywane przez aplikację Digital Infrastructure for Knowledge Sharing lub Diksha, publiczną aplikację edukacyjną uruchomioną w 2017 r. W szczytowym momencie pandemii Covid-19, kiedy rząd został zmuszony do zamknięcia szkół w całym kraju, Diksha stała się podstawową narzędzie umożliwiające studentom dostęp do materiałów i zajęć z domu.
Ale serwer w chmurze przechowujący dane Diksha pozostał bez ochrony, narażając dane milionów osób na ataki hakerów, oszustów i praktycznie każdego, kto wiedział, gdzie ich szukać.
Pliki przechowywane na niezabezpieczonym serwerze zawierały imiona i nazwiska, numery telefonów i adresy e-mail ponad miliona nauczycieli. Według danych w aktach, zweryfikowanych przez WIRED, nauczyciele pracowali dla setek tysięcy szkół zlokalizowanych w każdym stanie w Indiach. Inny plik zawierał informacje o prawie 600 000 studentów. Chociaż adresy e-mail i numery telefonów uczniów były częściowo ukryte, dane zawierały imiona i nazwiska uczniów oraz informacje o tym, gdzie chodzili do szkoły, kiedy zapisali się na kurs za pośrednictwem aplikacji i jaką część kursu ukończyli.
Według badacza bezpieczeństwa z Wielkiej Brytanii, który zidentyfikował zagrożenie, na serwerze znajdowały się tysiące takich plików. (Badacz poprosił o zachowanie anonimowości, ponieważ nie był upoważniony do wypowiadania się w mediach.)
Po początkowym odkryciu ekspozycji w czerwcu badacz skontaktował się z e-mailem wsparcia Diksha, ostrzegając ich o naruszeniu danych, identyfikując źródło i oferując udostępnienie większej ilości informacji. Nie otrzymali odpowiedzi. „Nie ma żadnej szansy, aby grupa innych osób uzyskała do nich dostęp i je pobrała” — mówi pracownik o ujawnionych danych.
WIRED skontaktował się z Ministerstwem Edukacji i nie otrzymał odpowiedzi.
Diksha została opracowana przez EkStep, fundację współzałożoną przez Nandana Nilekaniego, który pomógł opracować Aadhar, krajowy system identyfikacji narodowej. Według Deepiki Mogilishetty, szefowej ds. polityki i partnerstw w EkStep, podczas gdy fundacja wspierała Diksha od wielu lat, indyjskie Ministerstwo Edukacji ostatecznie wdraża zabezpieczenia i zasady zarządzania danymi w Diksha. Jednak po tym, jak WIRED wysłał linki Mogilishetty do niezabezpieczonego serwera, został on szybko wyłączony.
To nie pierwszy raz, kiedy Diksha potencjalnie źle obchodzi się z poufnymi informacjami. Raport Human Rights Watch z 2022 r. wykazał, że Diksha nie tylko był w stanie śledzić lokalizację uczniów, ale także udostępniał dane Google. W wielu przypadkach rząd Indii nakazał nauczycielom i uczniom używanie Diksha, a Hye Jung Han, badaczka z Human Rights Watch, która jest autorką raportu z 2022 r., mówi, że rząd nie zapewnił alternatywnych metod dla tych, którzy być może nie chcieli używać aplikacja.
„To, co dzieje się tam z perspektywy praw dziecka, polega na tym, że wypełniasz swój obowiązek zapewnienia bezpłatnej edukacji każdemu dziecku, ale jedyny rodzaj edukacji państwowej, który udostępniasz, to taki, który z natury narusza prawa dzieci”, mówi Han .
