Güvenlik açığı Hindistan Eğitim Bakanlığı tarafından işletilen bir uygulamada, bir yılı aşkın bir süre boyunca milyonlarca öğrenci ve öğretmenin kimlik bilgileri açığa çıktı.
Veriler, Bilgi Paylaşımı için Dijital Altyapı uygulaması veya 2017’de kullanıma sunulan bir halk eğitimi uygulaması olan Diksha tarafından depolanıyordu. öğrencilerin materyallere ve kurs çalışmalarına evden erişmesine izin veren bir araç.
Ancak Diksha’nın verilerini depolayan bir bulut sunucusu korumasız kaldı ve milyonlarca kişinin verileri bilgisayar korsanlarına, dolandırıcılara ve nereye bakacağını bilen neredeyse herkese ifşa oldu.
Güvenli olmayan sunucuda depolanan dosyalar, 1 milyondan fazla öğretmenin tam adlarını, telefon numaralarını ve e-posta adreslerini içeriyordu. WIRED tarafından doğrulanan dosyalardaki verilere göre, öğretmenler Hindistan’ın her eyaletinde bulunan yüzbinlerce okulda çalıştı. Başka bir dosya yaklaşık 600.000 öğrenci hakkında bilgi içeriyordu. Öğrencilerin e-posta adresleri ve telefon numaraları kısmen gizlenirken, veriler arasında öğrencilerin tam adları ve okula gittikleri yer, uygulama aracılığıyla bir kursa ne zaman kaydoldukları ve kursun ne kadarını tamamladıklarına ilişkin bilgiler yer alıyordu.
Açıklığı tespit eden Birleşik Krallık merkezli bir güvenlik araştırmacısına göre, sunucuda bunun gibi binlerce dosya vardı. (Araştırmacı, medyaya konuşma yetkisi olmadığı için isminin verilmemesini istedi.)
Araştırmacı, ifşayı ilk olarak Haziran ayında keşfettikten sonra, Diksha destek e-postasıyla iletişime geçerek onları veri ihlali konusunda uyardı, kaynağı belirledi ve daha fazla bilgi paylaşmayı teklif etti. Cevap alamadılar. Çalışan, açığa çıkan verilerle ilgili olarak “Bir grup başka kişi tarafından erişilip indirilmemiş olma ihtimali sıfır” diyor.
WIRED, Milli Eğitim Bakanlığı’na ulaştı ve bir yanıt alamadı.
Diksha, ülkenin ulusal tanımlama sistemi olan Aadhar’ın geliştirilmesine yardımcı olan Nandan Nilekani’nin ortak kurduğu bir vakıf olan EkStep tarafından geliştirildi. EkStep’in politika ve ortaklıklar başkanı Deepika Mogilishetty’ye göre, vakıf Diksha’yı uzun yıllardır desteklerken, Hindistan Eğitim Bakanlığı nihayetinde Diksha’da verilerin nasıl yönetildiğine ilişkin güvenlik ve politikaları uyguluyor. Ancak WIRED, güvenli olmayan sunucuya Mogilishetty bağlantıları gönderdikten sonra, hızla çevrimdışı duruma getirildi.
Bu, Diksha’nın hassas bilgileri potansiyel olarak yanlış kullandığı ilk sefer değil. İnsan Hakları İzleme Örgütü’nün 2022 tarihli bir raporu, Diksha’nın yalnızca öğrencilerin konumunu takip edemediğini, aynı zamanda Google ile veri paylaştığını ortaya çıkardı. Pek çok durumda, Hindistan hükümeti öğretmenlerin ve öğrencilerin Diksha’yı kullanmasını zorunlu kıldı ve 2022 raporunu yazan İnsan Hakları İzleme Örgütü araştırmacısı Hye Jung Han, hükümetin Diksha’yı kullanmak istemeyenler için hiçbir alternatif yöntem sağlamadığını söylüyor. uygulama.
Han, “Orada çocuk hakları açısından bakıldığında, her çocuğa ücretsiz eğitim verme sorumluluğunuzu yerine getiriyorsunuz, ancak sunduğunuz tek devlet eğitimi türü, doğası gereği çocuk haklarını ihlal eden bir eğitim” diyor Han. .