Lỗ Hổng Nghiêm Trọng Trong Ứng Dụng Tiết Lộ Dữ Liệu Của Triệu Sinh Viên Ấn Độ

Một sai lầm bảo mật trong ứng dụng do Bộ Giáo dục Ấn Độ quản lý đã tiết lộ thông tin cá nhân của hàng triệu sinh viên và giáo viên trong hơn một năm. 

Dữ liệu được lưu trữ bởi ứng dụng Cơ Sở Hạ Tầng Kỹ Thuật Số cho Việc Chia Sẻ Kiến Thức, hay Diksha, một ứng dụng giáo dục công cộng được ra mắt vào năm 2017. Trong đỉnh điểm của đại dịch Covid-19, khi chính phủ buộc phải đóng cửa các trường học trên khắp đất nước, Diksha trở thành một công cụ chính để sinh viên có thể truy cập tài liệu và khóa học từ nhà. 

Nhưng một máy chủ đám mây lưu trữ dữ liệu của Diksha đã bị bỏ không bảo vệ, làm lộ ra dữ liệu của hàng triệu người cho những kẻ hack, lừa đảo và bất kỳ ai biết nơi nào để tìm kiếm.

Các tập tin lưu trữ trên máy chủ không bảo mật chứa đầy đủ họ tên, số điện thoại và địa chỉ email của hơn 1 triệu giáo viên. Theo dữ liệu trong các tập tin, được xác minh bởi MYTOUR, những giáo viên này làm việc cho hàng trăm nghìn trường ở mọi bang ở Ấn Độ. Một tập tin khác chứa thông tin về gần 600,000 học sinh. Trong khi địa chỉ email và số điện thoại của học sinh được che đậy một phần, dữ liệu bao gồm tên đầy đủ của học sinh và thông tin về nơi họ học, khi họ đăng ký khóa học qua ứng dụng, và họ đã hoàn thành bao nhiêu phần của khóa học.  

Theo một nghiên cứu an ninh có trụ sở tại Anh đã xác định sự tiếp xúc này, có hàng nghìn tập tin như vậy trên máy chủ. (Người nghiên cứu yêu cầu không được tiết lộ tên vì họ không được ủy quyền để nói chuyện với phương tiện truyền thông.) 

Sau khi khám phá ra sự tiếp xúc ban đầu vào tháng 6, người nghiên cứu liên hệ qua email hỗ trợ Diksha, thông báo về việc xâm phạm dữ liệu, xác định nguồn gốc và đề xuất chia sẻ thêm thông tin. Họ không nhận được phản hồi nào. “Không có khả năng nào mà nó không được truy cập và tải xuống bởi một nhóm người khác,” nhân viên nói về dữ liệu bị tiếp xúc.

MYTOUR liên lạc với Bộ Giáo dục nhưng không nhận được phản hồi. 

Diksha được phát triển bởi EkStep, một tổ chức do Nandan Nilekani, người đã giúp phát triển Aadhar, hệ thống nhận diện quốc gia của đất nước. Theo Deepika Mogilishetty, trưởng ban chính sách và đối tác tại EkStep, trong khi tổ chức đã hỗ trợ Diksha trong nhiều năm, Bộ Giáo dục Ấn Độ cuối cùng thực hiện an ninh và chính sách về cách dữ liệu được quản lý trên Diksha. Tuy nhiên, sau khi MYTOUR gửi Mogilishetty các liên kết đến máy chủ không bảo mật, nó đã nhanh chóng bị tắt. 

Điều này không phải là lần đầu tiên Diksha có thể đã xử lý thông tin nhạy cảm một cách không đúng đắn. Một báo cáo năm 2022 của Tổ chức Quyền con người đã phát hiện ra rằng Diksha không chỉ có thể theo dõi vị trí của học sinh, mà còn chia sẻ dữ liệu với Google. Trong nhiều trường hợp, Chính phủ Ấn Độ đã yêu cầu giáo viên và học sinh sử dụng Diksha, và Hye Jung Han, một nhà nghiên cứu tại Tổ chức Quyền con người, người đã viết báo cáo năm 2022, nói rằng chính phủ không cung cấp bất kỳ phương pháp thay thế nào cho những người có thể không muốn sử dụng ứng dụng.

“Điều đang xảy ra từ góc nhìn quyền trẻ em là, bạn đang thực hiện trách nhiệm cung cấp giáo dục miễn phí cho mọi đứa trẻ, nhưng loại giáo dục nhà nước duy nhất mà bạn đang làm cho có thể vi phạm quyền của trẻ em,” Han nói.

Máy chủ lưu trữ không bảo mật được đặt trên Azure, dịch vụ lưu trữ đám mây của Microsoft. Không biết đã bao lâu dữ liệu được để không bảo vệ, nhưng Google đã lập chỉ mục hơn 100 tập tin từ máy chủ này ít nhất từ tháng 10 năm 2018. Nói cách khác, thông tin lưu trữ trên máy chủ yếu đuối này có thể tìm thấy thông qua một tìm kiếm Google đơn giản trong ít nhất bốn năm. Trong khi MYTOUR không thể tìm thấy các trường hợp dữ liệu nhạy cảm của học sinh và giáo viên thông qua tìm kiếm Google, các tập tin với dữ liệu nhạy cảm có sẵn để tải xuống thông qua Grayhat Warfare, một cơ sở dữ liệu có thể tìm kiếm các máy chủ không bảo mật phổ biến với nhà nghiên cứu an ninh và hacker.

“Nếu bạn có thông tin về tên của trẻ em, chi tiết liên lạc và trường học họ đang học, điều đó nói với bạn về khu vực họ sống. Điều này đặt ra những lo ngại về bảo vệ truyền thống của trẻ em,” Han nói. “Họ cũng có thể sử dụng trẻ em như một cách để tiếp cận cha mẹ của họ—t blackmail và quấy rối là khá phổ biến, không may thay, tại Ấn Độ, đặc biệt là xung quanh dữ liệu giáo dục.”

Thị trường dữ liệu học sinh tại Ấn Độ dường như đang phát triển mạnh mẽ. Năm 2020, các nhà nghiên cứu an ninh tại CloudSEK, một công ty an ninh có trụ sở tại Ấn Độ, phát hiện ra rằng thông tin cá nhân của hàng nghìn học sinh tham gia Kỳ thi Đánh giá Chung của Ấn Độ đang được bán trên diễn đàn dữ liệu rò rỉ. Một năm sau đó, báo India Times đưa tin rằng dữ liệu bí mật của hàng triệu học sinh đang được bán trên trang web có tên là “studentdatabase.in.”

Han cũng nói rằng trên thị trường môi giới dữ liệu đang nở rộ của Ấn Độ, dữ liệu giáo dục như thông tin có sẵn qua máy chủ Diksha bị tiếp xúc, mà có thể rất hấp dẫn đối với các trường chuẩn bị mua, có thể được bán với giá chỉ từ 2 đến 5 rup cho dữ liệu của một đứa trẻ duy nhất.