Eğitim teknolojisi devi ve Hindistan’ın en değerli girişimi Byju’s, öğrencilerinin hassas verilerini açığa çıkaran sunucu tarafındaki bir yanlış yapılandırmayı düzeltti.
Hintli girişim bazı öğrencilerin adlarını, telefon numaralarını, adreslerini ve e-posta kimliklerini açığa çıkardı. Açığa çıkan veriler ayrıca ödemeler, taranan belgelere bağlantılar ve bazı öğrencilerle ilgili işlem bilgileri gibi kredi ayrıntılarını da içeriyordu.
Güvenlik araştırmacısı Bob Diaçenko Byju’nun gerçek zamanlı veri gönderip almak için kullandığı yanlış yapılandırılmış Apache Kafka sunucusundan kaynaklanan bir risk tespit edildi. Diachenko, TechCrunch’a yanlış yapılandırılmış sunucuda birden fazla IP adresi bulunduğunu, bunun da herkesin şifre olmadan kayıtları okumak için kuyruğa erişmesine olanak tanıdığını söyledi.
Araştırmacı TechCrunch’a “Herkes kuyruğa bağlanıp mesajları okuyabilir veya indirebilir” dedi.
Açığa çıkan cihazlar ve veritabanlarına yönelik bir arama motoru olan Shodan’a göre, verilerin ilk kez 15 Ağustos’ta açığa çıktığı tespit edildi.
Verileri açığa çıkan öğrencilerin kesin sayısı belirsiz olsa da Diachenko, sorun nedeniyle 1 ila 2 milyon kaydın erişilebilir olduğunu söyledi.
Diachenko, sorunu 22 Ağustos’ta doğrudan Byju’ya bildirdi. Yanlış yapılandırma, araştırmacının hemen ardından düzeltildi. gönderildi ayrıntıları bir gün sonra eski adı Twitter olan X platformunda açıklandı.
Byju, TechCrunch’a güvenlik açığını giderdiğini doğruladı ancak sunucuların açığa çıktığı hafta boyunca “hiçbir veri veya bilginin ifşa edilmediğini veya tehlikeye atılmadığını” iddia etti.
Byju’nun baş teknoloji sorumlusu Anil Goel, hazırladığı bir açıklamada, “Sistemlerimizin küçük bir kısmı çok kısa bir süre için geçici olarak açığa çıktı” dedi. “Teknik ekibimiz bu sorunu bize ulaşır ulaşmaz derhal çözdü. Tüm sistemlerimizin, verilerimizin mahremiyetini ve güvenliğini korumak üzerine kurulduğunu bir kez daha vurgulamak isteriz.”
Byju’s, etkilenen öğrencilerin tam sayısını doğrulamadı ve şirketin öğrencilere bu durumu bildirip bildirmediğine ilişkin soruya yanıt vermedi. Byju ayrıca hangi verilere (eğer varsa) kim tarafından erişildiğini belirleyecek teknik araçlara sahip olup olmadığını da söylemedi.
TechCrunch, araştırmacıdan ayrıntıları aldıktan sonra Hindistan’ın bilgisayar acil durum müdahale ekibi CERT-In’i olay hakkında bilgilendirdi.
Haziran 2021’de, Byju’nun üçüncü taraf hizmet sağlayıcısı Salesken.ai’yi etkileyen bir sunucu tarafı sorunu, öğrencilerin startup’ın çevrimiçi kodlama platformu WhiteHatJr aracılığıyla hangi dersleri aldıklarına ilişkin kişisel ayrıntılar da dahil olmak üzere öğrenci verilerini açığa çıkardı. Salesken.ai, TechCrunch’ın girişimle iletişime geçmesinden kısa bir süre sonra sunucuyu çevrimdışına aldı.
Salesken.ai sunucusundaki yanlış yapılandırmadan kaynaklanan önceki sorundan farklı olarak, son sorun özellikle Byju’nun altyapısını etkiliyor.
Verilerin açığa çıkması, şu anda birçok zorlukla boğuşan, değeri 22 milyar dolar olan Bengaluru merkezli bir girişim olan Byju’s’un sıkıntılarını artırdı.
Girişimin üç önemli yatırımcısı – Peak XV Partners (eski adıyla Sequoia Capital India & SEA), Prosus ve Chan Zuckerberg Initiative – finansal raporlamanın ertelenmesi nedeniyle küresel incelemeye maruz kaldıktan bir yıl sonra, Haziran ayında yönetim kurulundan ayrıldı. Byju’nun en büyük yatırımcılarından biri olan Prosus, yönetim kurulundan ayrılırken raporlama ve yönetim yapılarının “bu ölçekte bir şirket için yeterince gelişmediğini” söyledi. Yatırım şirketi ayrıca eğitim teknolojisi girişiminin değerlemesini Kasım ayına kadar olan 6 milyar dolardan Haziran ayında 5,1 milyar dolara düşürdü.
Bu yılın başlarında Deloitte, mali tablolarını uzun süre geciktirmesi nedeniyle Byju’nun denetçisi olarak görevinden erken ayrıldı.
Ek olarak startup, maliyetleri azaltmak için haziran ayında 1.000’e kadar çalışanı işten çıkarmaya devam etti.
Üstelik Byju’s, Hindistan kara para aklamayı önleme kurumunun ofislerinde aramalar yaptığını, ülkenin kurumsal ilişkiler bakanlığı tarafından bir soruşturma başlatıldığını ve kredi verenlerle 1,2 milyar dolarlık bir vadeli krediyle ilgili gerginlikler yaşandığını gördü – tüm bunlar o sırada daha fazla sermaye toplama arayışındaydı Mayıs ayındaki 250 milyon dolarlık turun ardından.