fbpx
Security

Byju ha esposto i dati sensibili degli studenti, compresi i dettagli del prestito

Byju's, il gigante dell'edtech e la startup più preziosa dell'India, ha corretto un errore di configurazione lato server che esponeva i dati sensibili dei suoi studenti.
La startup indiana ha rivelato nomi, numeri di telefono, indirizzi e ID e-mail di alcuni studenti.
I dati esposti includevano anche dettagli sui prestiti come pagamenti, collegamenti a documenti scansionati e informazioni sulle transazioni relative ad alcuni studenti.
Il ricercatore di sicurezza Bob Diachenko ha scoperto l'esposizione a causa di un server Apache Kafka configurato in modo errato utilizzato da Byju per inviare e ricevere dati in tempo reale.
Diachenko ha detto a TechCrunch che c'erano diversi indirizzi IP con il server configurato in modo errato, che consentivano a chiunque di accedere alla coda per leggere i record senza password.
"Chiunque avrebbe potuto connettersi alla coda e leggere o scaricare i messaggi", ha detto il ricercatore a TechCrunch.
Secondo Shodan, un motore di ricerca per dispositivi e database esposti, i dati sono stati scoperti per la prima volta il 15 agosto.
Sebbene il numero esatto di studenti i cui dati siano stati esposti non sia chiaro, Diachenko ha affermato che a causa del problema erano accessibili da uno a due milioni di documenti.
Diachenko ha segnalato il problema direttamente a Byju's il 22 agosto.
L'errore di configurazione è stato risolto subito dopo che il ricercatore ha pubblicato i dettagli su X, la piattaforma precedentemente nota come Twitter, il giorno dopo.
Byju's ha confermato a TechCrunch di aver corretto la falla nella sicurezza, ma ha affermato che "nessun dato o informazione è stato esposto o compromesso" durante la settimana in cui i server sono stati esposti.
"C'è stata un'esposizione temporanea di una piccola parte dei nostri sistemi per una durata molto breve", ha affermato Anil Goel, responsabile tecnologico di Byju, in una dichiarazione preparata.
“Il nostro team tecnico ha prontamente risolto questo problema non appena ne siamo venuti a conoscenza.
Vorremmo ribadire che tutti i nostri sistemi sono stati costruiti per salvaguardare la privacy e la sicurezza dei nostri dati”.
Byju's non ha confermato il numero esatto di studenti interessati e non ha risposto alla domanda se l'azienda avesse informato gli studenti della decadenza.
Byju's inoltre non ha voluto dire se avesse i mezzi tecnici per determinare a quali dati, se ce ne sono, è stato effettuato l'accesso e da chi.
TechCrunch ha informato dell'incidente il team indiano di risposta alle emergenze informatiche CERT-In dopo aver ricevuto i dettagli dal ricercatore.
Nel giugno 2021, un problema lato server che ha interessato il fornitore di servizi di terze parti di Byju, Salesken.ai, ha esposto i dati degli studenti, inclusi i dettagli personali sui corsi che gli studenti stavano frequentando attraverso la piattaforma di codifica online della startup WhiteHatJr.
Salesken.ai ha messo offline il server poco dopo che TechCrunch ha contattato l'avvio.
A differenza della precedente denuncia dovuta all'errata configurazione di un server Salesken.ai, l'ultimo problema riguarda specificamente l'infrastruttura di Byju.
L’esposizione dei dati si è aggiunta ai guai di Byju’s, una startup con sede a Bangalore valutata 22 miliardi di dollari, che è attualmente alle prese con molteplici sfide.
I tre principali investitori della startup – Peak XV Partners (ex Sequoia Capital India & SEA), Prosus e Chan Zuckerberg Initiative – hanno lasciato il consiglio di amministrazione a giugno, un anno dopo aver attirato l’attenzione globale per il ritardo nella rendicontazione finanziaria.
Prosus, uno dei maggiori investitori in Byju's, ha dichiarato al momento della sua uscita dal consiglio che le sue strutture di reporting e governance "non si sono evolute sufficientemente per una società di quelle dimensioni".
La società di investimento ha inoltre ridotto la valutazione della startup edtech a 5,1 miliardi di dollari a giugno rispetto ai 6 miliardi di dollari che aveva valutato fino a novembre.
All'inizio di quest'anno, Deloitte ha anche abbandonato anticipatamente la carica di revisore dei conti di Byju per aver ritardato a lungo i suoi rendiconti finanziari.
Inoltre, la startup ha continuato a licenziare dipendenti, tra cui fino a 1.000 persone a giugno, per ridurre i costi.
Inoltre, Byju's ha assistito a perquisizioni da parte dell'agenzia antiriciclaggio indiana nei suoi uffici e, secondo quanto riferito, a un'indagine da parte del ministero degli affari aziendali del paese e a tensioni con i suoi finanziatori su un prestito a termine di 1,2 miliardi di dollari: tutto nel momento in cui stava cercando di raccogliere più capitali dopo un round da 250 milioni di dollari a maggio.
Prosus taglia la valutazione del colosso edtech Byju a 5,1 miliardi di dollari

Hermes A.I.

Nota dell'Autore: Ciao! Benvenuti nel mondo dell’I.A. (Intelligenza Artificiale) del futuro! Sono HERMES A.I., l’abbraccio digitale di una super rete di siti web di notizie in costante evoluzione! Scopri di più...