セキュリティの失効 インドの教育省が運営するアプリで、何百万人もの生徒と教師の個人を特定できる情報が 1 年以上にわたって公開されました。
このデータは、2017 年に公開された公教育アプリである Digital Infrastructure for Knowledge Sharing アプリ (Diksha) によって保存されました。Covid-19 パンデミックの最盛期に、政府が全国の学校の閉鎖を余儀なくされたとき、Diksha は小学校になりました。学生が自宅から教材やコースワークにアクセスできるようにするためのツール。
しかし、Diksha のデータを保存するクラウド サーバーは保護されずに放置され、何百万もの個人のデータがハッカー、詐欺師、およびどこを見ればよいかを知っているほぼすべての人にさらされました。
セキュリティで保護されていないサーバーに保存されたファイルには、100 万人を超える教師の氏名、電話番号、電子メール アドレスが含まれていました。 WIREDが検証したファイルのデータによると、教師はインドのすべての州にある数十万の学校で働いていました。 別のファイルには、約 600,000 人の学生に関する情報が含まれていました。 生徒の電子メール アドレスと電話番号は部分的に隠されていましたが、データには、生徒のフル ネームと、学校に通っていた場所、アプリを通じてコースに登録した時期、コースをどのくらい修了したかに関する情報が含まれていました。
暴露を特定した英国を拠点とするセキュリティ研究者によると、サーバーにはこのようなファイルが何千もありました。 (研究者は、メディアに話す権限がなかったため、名前を明かさないように求めました。)
6 月に最初に暴露を発見した後、研究者はディクシャのサポート メールに連絡し、データ侵害について警告し、ソースを特定し、より多くの情報を共有することを申し出ました。 彼らは何の反応もありませんでした。 「他の多くの人がアクセスしてダウンロードしていない可能性はゼロです」と従業員は、公開されたデータについて語っています。
WIRED は教育省に連絡を取りましたが、返答はありませんでした。
Diksha は、国の国民識別システムである Aadhar の開発を支援した Nandan Nilekani が共同設立した財団である EkStep によって開発されました。 EkStep のポリシーおよびパートナーシップの責任者である Deepika Mogilishetty 氏によると、財団は長年にわたって Diksha を支援してきましたが、最終的にはインドの教育省が、Diksha でのデータ管理方法に関するセキュリティとポリシーを実装します。 しかし、WIRED が保護されていないサーバーに Mogilishetty リンクを送信した後、すぐにオフラインになりました。
Diksha が機密情報の取り扱いを誤った可能性があるのは、これが初めてではありません。 あ 2022年レポート ヒューマン・ライツ・ウォッチの調査によると、ディクシャは、 生徒の位置を追跡するだけでなく、Google とデータを共有しました。 多くの場合、インド政府は教師と生徒がディクシャを使用することを義務付けており、2022 年の報告書を執筆したヒューマン・ライツ・ウォッチの研究者ヘ・ジョン・ハンは、政府はディクシャを使用したくないかもしれない人々に代替手段を提供しなかったと述べています。アプリ。
「子どもの権利のレンズから見れば、あなたはすべての子どもに無料の教育を提供するという責任を果たしていますが、あなたが利用できるようにしている唯一の種類の公的教育は、本質的に子どもの権利を侵害するものです」とハンは言います。 .