Byju’s, der Edtech-Riese und Indiens wertvollstes Startup, hat eine serverseitige Fehlkonfiguration behoben, die zur Offenlegung vertraulicher Daten seiner Studenten führte.
Das indische Startup gab die Namen, Telefonnummern, Adressen und E-Mail-IDs einiger Studenten preis. Zu den offengelegten Daten gehörten auch Kreditdetails wie Auszahlungen, Links zu gescannten Dokumenten und Transaktionsinformationen zu einigen Studenten.
Sicherheitsforscher Bob Diachenko stellte fest, dass die Gefährdung auf einen falsch konfigurierten Apache Kafka-Server zurückzuführen war, der von Byju zum Senden und Empfangen von Daten in Echtzeit verwendet wurde. Diachenko teilte TechCrunch mit, dass es auf dem falsch konfigurierten Server mehrere IP-Adressen gebe, die es jedem ermöglichten, auf die Warteschlange zuzugreifen, um die Datensätze ohne Passwort zu lesen.
„Jeder hätte sich mit der Warteschlange verbinden und die Nachrichten lesen oder herunterladen können“, sagte der Forscher gegenüber TechCrunch.
Laut Shodan, einer Suchmaschine für offengelegte Geräte und Datenbanken, wurde festgestellt, dass die Daten erstmals am 15. August offengelegt wurden.
Während die genaue Zahl der Studenten, deren Daten offengelegt wurden, unklar ist, sagte Diachenko, dass aufgrund des Problems ein bis zwei Millionen Datensätze zugänglich seien.
Diachenko meldete das Problem am 22. August direkt an Byju’s. Die Fehlkonfiguration wurde bald nach dem Forscher behoben Gesendet Einen Tag später veröffentlichte er seine Details auf X, der Plattform, die früher als Twitter bekannt war.
Byju’s bestätigte gegenüber TechCrunch, dass es die Sicherheitslücke behoben habe, behauptete jedoch, dass in der Woche, in der die Server offengelegt wurden, „keine Daten oder Informationen preisgegeben oder kompromittiert wurden“.
„Ein kleiner Teil unserer Systeme war für einen sehr kurzen Zeitraum vorübergehend ungeschützt“, sagte Anil Goel, Chief Technology Officer von Byju, in einer vorbereiteten Erklärung. „Unser technisches Team hat dieses Problem umgehend gelöst, sobald es uns bekannt wurde. Wir möchten noch einmal betonen, dass alle unsere Systeme auf den Schutz der Privatsphäre und Sicherheit unserer Daten ausgerichtet sind.“
Byju’s bestätigte nicht die genaue Anzahl der betroffenen Studenten und antwortete nicht auf die Frage, ob das Unternehmen die Studenten über den Ausfall informiert hatte. Byju’s wollte auch nicht sagen, ob es über die technischen Mittel verfügt, um zu bestimmen, auf welche Daten, wenn überhaupt, zugegriffen wurde und von wem.
TechCrunch informierte Indiens Computer-Notfallteam CERT-In über den Vorfall, nachdem es Einzelheiten vom Forscher erhalten hatte.
Im Juni 2021 wurden durch ein serverseitiges Problem, das Byjus Drittanbieter Salesken.ai betraf, über die Online-Codierungsplattform WhiteHatJr des Startups Studentendaten offengelegt, darunter persönliche Daten zu den Kursen, an denen Studenten teilnahmen. Salesken.ai hat den Server offline geschaltet, kurz nachdem TechCrunch das Startup kontaktiert hatte.
Im Gegensatz zur vorherigen Offenlegung aufgrund einer Fehlkonfiguration auf einem Salesken.ai-Server betrifft das neueste Problem speziell die Infrastruktur von Byju.
Die Offenlegung der Daten verschlimmerte das Leid von Byju’s, einem in Bengaluru ansässigen Startup mit einem Wert von 22 Milliarden US-Dollar, das derzeit mit mehreren Herausforderungen zu kämpfen hat.
Die drei Hauptinvestoren des Startups – Peak Prosus, einer der größten Investoren von Byju’s, sagte bei seinem Ausscheiden aus dem Vorstand, dass sich seine Berichts- und Governance-Strukturen „für ein Unternehmen dieser Größenordnung nicht ausreichend weiterentwickelt haben“. Die Investmentfirma senkte außerdem die Bewertung des Edtech-Startups im Juni von 6 Milliarden US-Dollar, die es bis November bewertet hatte, auf 5,1 Milliarden US-Dollar.
Anfang des Jahres schied Deloitte auch vorzeitig aus Byju’s als Wirtschaftsprüfer aus, weil es seine Finanzberichte lange hinausgezögert hatte.
Darüber hinaus hat das Startup weiterhin Mitarbeiter entlassen, darunter bis zu 1.000 im Juni, um die Kosten zu senken.
Darüber hinaus sah Byju’s Durchsuchungen in seinen Büros durch die indische Anti-Geldwäsche-Agentur, Berichten zufolge eine Untersuchung durch das Ministerium für Unternehmensangelegenheiten des Landes und Spannungen mit seinen Kreditgebern bezüglich eines befristeten Darlehens in Höhe von 1,2 Milliarden US-Dollar – und das alles zu einer Zeit, als das Unternehmen versuchte, mehr Kapital zu beschaffen nach einer 250-Millionen-Dollar-Runde im Mai.