این آسیب پذیری در سرور باطن آن ، که امکان دسترسی به انواع داده های شخصی 280،000 کاربر را برای افراد خارجی فراهم می کند ، توسط یک محقق امنیتی مستقل پرچم گذاری شد. ET نمی تواند به طور مستقل تأیید کند که وقتی محقق امنیتی اولین بار WhiteHat Jr را در مورد این موضوع آگاه کرده است.
اما طبق گزارش روز سه شنبه وب سایت خبری The Quint ، شرکت مستقر در بمبئی توجه خود را به این موضوع رسانده و آن را حل و فصل کرده است.
سخنگوی WhiteHat Jr به ET گفت که ، بر اساس “اطلاعات دریافت شده از افشای مسئولانه ، ما تنظیمات خود را بررسی کردیم و تلاش کردیم تا آسیب پذیری های مشخص شده را در عرض 24 ساعت وصله کنیم.”
WhiteHat Jr سرورهای خود را در پلتفرم رایانش ابری Amazon Web Services (AWS) میزبانی می کند.
داده های در معرض پلت فرم کدگذاری آنلاین برای بچه های مدرسه شامل نام دانش آموزان ، سن ، جنسیت ، تصاویر ، شناسه کاربر و گزارش پیشرفت و غیره بود. بیشتر این داده ها PII در نظر گرفته می شود و توسط لایحه محافظت از اطلاعات شخصی به عنوان داده های حساس شخصی دسته بندی می شود که سال گذشته در پارلمان مطرح شد.
علاوه بر PII افراد زیر سن قانونی ، محقق همچنین به WhiteHat Jr اطلاع داد که اطلاعات مربوط به معلمان ، والدین ، اسناد حقوق و دستمزد ، اسناد داخلی شرکت و فیلم های ضبط شده از کلاسهای در حال انجام نیز در دسترس است.
WhiteHat Jr مدت زمان افشای داده های کاربر را فاش نکرد اما تأیید کرد که “هیچ نقض داده ای در این زمینه در سیستم های رایانه ای و شبکه های شرکت رخ نداده است.”
در این گزارش آمده است: “به دلیل احتیاط فراوان ، ما تحقیقات خود را ادامه می دهیم تا از این موضوع اطمینان حاصل کنیم.”
با این حال ، این شرکت به سوالات خاصی درباره اینکه آیا به کاربران مربوطه اطلاع داده است که اطلاعات آنها لو رفته است ، پاسخ نداد.
همچنین در مورد اینکه آیا تیم واکنش اضطراری رایانه هند ، یا CERT-In ، آژانس گره ای برای پاسخگویی به حوادث امنیتی رایانه ، مطلع نشده اند ، گفت.
سخنگوی شرکت گفت: “ما به طور منظم اقدامات مختلفی را برای تقویت امنیت و حریم خصوصی خود انجام می دهیم و ادامه می دهیم و همچنین متخصصان امنیت خارجی را برای کمک به ما حفظ کرده ایم.”
شرو پارتاساراتی ، شریک و رهبر ملی – خدمات خطر سایبری ، Deloitte India ، اظهار داشت ، در مورد این موضوع ، این یک اتفاق یکبار نیست. “بسیاری از سازمان ها و شرکت های بزرگ تازه تأسیس در ساخت سیستم های امنیتی برای اطمینان از امنیت و حریم خصوصی داده ها سرمایه گذاری نمی کنند ، در حالی که مسئولیت امانتداری آنها این است که از اطلاعات کاربر و مشتری مانند اطلاعات قابل شناسایی شخصی و اطلاعات مالی محافظت کنند.”
به طور جداگانه ، در 20 اکتبر ، Santosh Patidar ، بنیانگذار برنامه مدیریت صف DINGG ، در سایت شبکه حرفه ای LinkedIn ارسال کرده بود که “اطلاعات شخصی بچه ها به همراه جزئیات معامله (خرید) آنها به طور آشکار (نه چندان باز) در دسترس است …”
او WhiteHat Jr و والدین Byju را در این پست برچسب گذاری کرده است و به آنها پیشنهاد می کند که گزارش های وب خود را بررسی کنند یا برای حل مشکل به او پیام دهند. چند ساعت بعد ، او پست را به روز کرد و گفت این مسئله حل شده است.
Sonit Jain ، مدیر عامل شرکت GajShield Infotech ، یک ارائه دهنده راه حل های امنیتی ابر و داده ها ، گفت: در حالی که سرویس های ابری به یک استاندارد برای نیازهای محاسبات شرکت ها تبدیل شده اند ، اما حرکت به سمت ابر بدون اقدامات پیشگیرانه مناسب می تواند برای امنیت داده ها مخرب باشد.
جین تأکید کرد که حرکت به سمت سرویس های ابری باید با یک “رویکرد امنیتی قوی داده با توانایی دستیابی به دید کامل در کل سطح تهدید آنها ، از جمله بردارهای تهدید داخلی و کمترین چگونگی مدیریت این داده ها” پشتیبانی شود.