Home Created by potrace 1.16, written by Peter Selinger 2001-2019News Created by potrace 1.16, written by Peter Selinger 2001-2019India Created by potrace 1.16, written by Peter Selinger 2001-2019 व्हाइटहैट जूनियर बग ने लाखों स्टूडेंट्स का डेटा खतरे में डाला  

व्हाइटहैट जूनियर बग ने लाखों स्टूडेंट्स का डेटा खतरे में डाला  

बच्चों के नाम, उम्र, फोटो, यूजर आईडी खतरे में पड़े

सुशोभन सरकार
भारत
Updated:
व्हाइटहैट जूनियर बग ने स्टूडेंट्स का डेटा खतरे में डाला
i
व्हाइटहैट जूनियर बग ने स्टूडेंट्स का डेटा खतरे में डाला
(फोटो: क्विंट हिंदी)

advertisement

बच्चों के ऑनलाइन कोडिंग प्लेटफॉर्म व्हाइटहैट जूनियर ने 2.8 लाख स्टूडेंट्स और टीचर्स के पर्सनल डेटा को कई बग के जरिए (जब तक कंपनी ने इसे दुरुस्त नहीं कर दिया) खतरे में डाला हुआ था. ऐसा क्विंट को पता चला है.

एक स्वतंत्र सिक्योरिटी रिसर्च कंपनी ने बायजू के व्हाइटहैट जूनियर के बारे में यह खुलासा किया है. इसके हिसाब से व्हाइटहैट जूनियर ने अपने बैकएंड सर्वर को ओपन रख छोड़ा था जिससे कई तरह के प्लेनटेक्स्ट डेटा का एक्सेस किया जा सकता था.

इसमें स्टूडेंट्स के नाम, उम्र, जेंडर, तस्वीरें, यूजर आईडी, पेरेंट्स के नाम और प्रोग्रेस रिपोर्ट शामिल हैं और इसे कोई भी बाहरी व्यक्ति देख सकता था.

सिक्योरिटी रिसर्चर ने 19 नवंबर को खतरे के बारे में रिपोर्ट किया था. उसने नाम न छापने की शर्त पर क्विंट को जानकारी दी और बताया कि उसे अगले दिन एकनॉलेजमेंट मेल मिला था, कंपनी ने अपने एडब्ल्यूएस सर्वर के एक्सेस पर 20 नवंबर तक रोक नहीं लगाई थी.

रिसर्चर ने क्विंट को बताया, “मुझे जो पता चला उसके मुताबिक, कंपनी के सर्वर की वल्नरेबिलिटी की वजह से, माता-पिता के नामों सहित 2.80 लाख स्टूडेंट्स का पर्सनल डेटा एक्सपोज्ड था.”

कंपनी के एक प्रवक्ता ने क्विंट के सवालों के जवाब में कहा, “व्हाइटहैट जूनियर सिक्योरिटी और प्राइवेसी के मामलों पर बहुत गंभीर है.” 25 नवंबर को अपडेट किए कंपनी के एक बयान के मुताबिक, ‘’जिम्मेदार खुलासे से हासिल जानकारी के आधार पर, हमने अपने सेटअप की समीक्षा की और 24 घंटे के भीतर विशिष्ट पहचान की कमजोरियों को पैच करने का काम किया.’’

24 नवंबर को क्विंट पर यह स्टोरी पब्लिश होने के बाद, कंपनी के एक प्रवक्ता ने अपडेटेड बयान में कहा, “हम दोहराते हैं कि कंपनी के कंप्यूटर सिस्टम और नेटवर्क पर इस संदर्भ में कोई भी डेटा का ब्रीच नहीं हुआ है, सावधानी की बहुतायत से हम अपनी जांच जारी रख रहे हैं यह सुनिश्चित करने के लिए कि यह केस है, ”

व्हाइटहैट जूनियर को 2018 में करण बजाज ने शुरू किया था. यह एजुकेशनल टेक्नोलॉजी प्लेटफॉर्म है जोकि छह से 18 साल के बच्चों को कोडिंग सिखाता है. अगस्त में इसे 300 मिलियन डॉलर में बायजू ने खरीद लिया था.

खुलासे से सामने आई डेटासीट(Image accessed by The Quint)
ADVERTISEMENT
ADVERTISEMENT

माता-पिता और टीचर्स का डेटा

रिसर्चर का कहना है कि व्हाइटहैट जूनियर के सर्वर ने न केवल बच्चों के पर्सनली आइडेंटिफिएबल इन्फॉर्मेशन (पीआईआई) को एक्सपोज होने दिया बल्कि टीचर्स और स्टूडेंट्स के माता-पिता का डेटा भी ओपन ही रहा. साथ ही कंपनी के सैलरी डॉक्युमेंट्स, इंटरनल कंपनी डॉक्युमेंट्स और क्लास के रिकॉर्डेड वीडियो का एक्सेस भी ओपन था.

इसके अलावा कंपनी के एपीआई के जरिए पर्सनल डेटा लीक होते रहे, यानी एक यूजर दूसरे यूजर के ट्रांजैक्शन डीटेल्स सहित सारे डेटा देख सकता था. एक क्यू मैनेजमेंट ऐप के संस्थापक संतोष पाटीदार ने लिंक्डइन पर इस इश्यू को पोस्ट किया और बाद में इसे अपडेट करके लिखा कि इस बग को फिक्स कर दिया गया है.

वैसे रिसर्चर्स ने यह दावा किया है कि कंपनी ने कई महीने तक अपने सर्वर्स को ओपन रखा. लेकिन क्विंट स्वतंत्र रूप से इस बात की पुष्टि नहीं कर पाया कि वल्नरेबिलिटी की सही अवधि क्या थी.

व्हाइटहैट जूनियर के ओपन सर्वर से स्टूडेंट्स का डेटा एक्सपोज

सिक्योरिटी रिसर्चर के अनुसार, व्हाइटहैट जूनियर एमेजन वेब सर्विस (एडब्ल्यूएस) सर्वर का इस्तेमाल करता था और उसे पता चला कि उसके एस3 बकेट को ओपन छोड़ा गया है, जिससे डॉक्युमेंट्स, फाइल्स, डेटा और वीडियो वाले फोल्डर्स का एक्सेस किया जा सकता है.

रिसर्चर ने क्विंट को बताया, “सबसे बड़ी चिंता यह थी कि प्लेटफॉर्म पर साइन अप करने वाले हजारों बच्चों के पर्सनल डेटा को कोई भी हासिल कर सकता था. दूसरे एक्सपोज्ड डेटा के साथ यह भी काफी खतरनाक बात थी.”

पर्सनली आइडेंटिफिएबल इन्फॉर्मेशन या पीआईआई ऐसी कोई भी इन्फॉर्मेशन होती है जिससे किसी व्यक्ति की पहचान की जा सकती है. पर्सनल डेटा प्रोटेक्शन बिल (पीडीपी बिल) के तहत यह संवेदनशील व्यक्तिगत डेटा होता है. संसद में पेश किए गया यह बिल फिलहाल ज्वाइंट पार्लियामेंटरी कमेटी के हवाले है.

डेटा कलेक्शन के सवाल के जवाब में व्हाइटहैट जूनियर ने क्विंट को बताया, “हम सहमति से अपने ग्राहकों की बुनियादी इन्फॉर्मेशन (नाम, कॉन्टैक्ट इन्फॉर्मेशन, प्रॉजेक्ट्स और करिकुलम से संबंधित इन्फो, तस्वीरें) को स्टोर करते हैं.” कंपनी के अनुसार, “हमारे एप्लिकेशन्स पर ग्राहकों, कर्मचारियों, सप्लायर्स का कोई दूसरा पीआईआई नहीं है जिसे व्हाइटहैट जूनियर ने जमा किया है या प्रोसेस किया है.”

रिसर्चर ने कहा कि उसने 26 अक्टूबर को सबसे पहले कंपनी को इस संबंध में जानकारी दी थी लेकिन कंपनी ने इस पर कोई प्रतिक्रिया नहीं दी, न ही इस बात को माना. “मैंने उन्हें मेल भेजा लेकिन उन्होंने कोई जवाब नहीं दिया. मेरे मेल करने के दो हफ्ते बाद तक वल्नरेबिलिटीज एक्टिव रहीं.”

उसने बताया कि उसने 19 और 20 नवंबर को व्हाइटहैट जूनियर के चीफ टेक्नोलॉजी ऑफिसर (सीटीओ) को सीधे मेल किया. मेल में उसने बताया कि उसने और वल्नरेबिलिटीज का भी पता लगाया है जिसमें एक बग शामिल है. इस बग की वजह से लोग कंपनी के सर्वर से फाइल्स भी अपलोड कर सकते हैं. इस मेल के अगले दिन रिसर्चर को जवाब मिला. उसने बताया, “मेरे पास कंपनी के सीटीओ प्रणब दाश का मेल आया जिसमें उन्होंने इन वल्नरेबिलिटीज को माना और कहा कि वे लोग इसे दुरुस्त करेंगे.”

रिसर्चर ने क्विंट को इन ईमेल्स के स्क्रीनशॉट्स भेजे हैं. इन मेल्स में दाश ने रिसर्चर को शुक्रिया अदा किया और कहा, “हमने अपने सभी एस3 बकेट्स पर राइट परमिशन्स को रोक दिया है. क्या अब भी कुछ ओपन है?” फिर उन्होंने रिसर्चर को अलग से एक मेल लिखकर धन्यवाद कहा.

कंपनी ने क्विंट से कहा, “व्हाइटहैट जूनियर को सिक्योरिटी वल्नरेबिलिटीज के बारे में जो कुछ भी पता चला, उसे देखते हुए हमने अपने सेटअप की समीक्षा की है और चिन्हित वल्नरेबिलिटीज को पैच कर दिया है.”

“हम अपने ग्राहकों के अनुभवों को अच्छा बनाने और एप्लिकेशन के प्रदर्शन में सुधार करने की हमेशा कोशिश करते हैं. इसके लिए हम कई टूल्स और सॉफ्टवेयर का इस्तेमाल करते हैं जो इंडस्ट्री से वैलिडेटेड हैं.”

पर्सनल डेटा और ट्रांजैक्शन डीटेल्स को लीक करने वाला एपीआई

संतोष पाटीदार ने एक और मुद्दे की तरफ ध्यान खींचा. वह क्यू मैनेजमेंट ऐप डिंग के संस्थापक हैं. उन्होंने भी एक वल्नरेबिलिटीज की बात की थी जोकि स्टूडेंट्स के माता-पिता पर्सनल डेटा और ट्रांजैक्शन डीटेल्स के भुगतान को लीक कर रहा था.

20 अक्टूबर को पाटीदार ने एक पोस्ट लिखी, “बच्चों के पर्सनल डीटेल्स और उनके ट्रांजैक्शन (खरीदारी) डीटेल्स ओपनली (इतने ओपन नहीं) उपलब्ध हैं. व्हाइटहैट जूनियर बायजू की टीम अपने वेब लोगो को चेक करे. मुझे पक्का है कि आपको कोई न कोई समस्या दिखाई देगी, वरना मुझे डीएम करें.”

बाद में पाटीदार ने अपनी पोस्ट को अपडेट किया, “उन्होंने समस्या सुलझा ली है.” उन्होंने वल्नरेबिलिटीज को स्पष्ट किया और यह खुलासा किया कि एपीआई बच्चों के पर्सनल डेटा को लीक कर रहा था.

“सीटीओ प्रणब दाश ने कल रात मुझसे संपर्क किया और बग के बारे में जानकारी मांगी. अब मुझे यकीन है कि उन्होंने इसे फिक्स कर लिया होगा... उनका एक एपीआई तो बहुत सारा डेटा एक्सपोज कर रहा था. यह वही है लेकिन अब ऑथराइज्ड है, यानी अब कोई समस्या नहीं है. कल रात तक वह आपके ऑथ (ऑथराइजेशन) टोकन (सिक) का इस्तेमाल करते हुए दूसरे यूजर्स के डेटा को एक्सेस दे रहा था.”

(Photo via Santosh Patidar/LinkedIn)

व्हाइटहैट जूनियर का विज्ञापन और मानहानि का मुकदमा

व्हाइटहैट जूनियर की सिक्योरिटी का मामला तब उठा है, जब कंपनी को एडवर्टाइजिंग स्टैंडर्ड्स काउंसिल ऑफ इंडिया (एएससीआई) ने फटकार लगाई है. उसने आदेश दिया गया कि वह अपने पांच विज्ञापनों को तुरंत हटाए- चूंकि वे एडवरटाइजिंग स्टैंडर्ड्स का पालन नहीं करते.

कंपनी ने प्रदीन पूनिया नाम के सॉफ्टवेयर इंजीनियर पर 20 करोड़ रुपये की मानहानि का मुकदमा किया था. 21 नवंबर को कंपनी ने कहा कि उसके विज्ञापन में वुल्फ गुप्ता नाम के जिस 13 साल के बच्चे को ऐप डेवलप करते दिखाया गया था, वह ‘काल्पनिक’ था. पूनिया ने कंपनी के ‘वुल्फ गुप्ता’ वाले विज्ञापन और उसके टीचर्स, कलिकुलम के बारे में ट्वीट किया था और यूट्यूब पर वीडियो भी पब्लिश किया था.

पूनिया सिक्योरिटी रिसर्चर्स वाले टेलीग्राम ग्रुप के सदस्य हैं जिसने प्रॉडक्ट की वल्नरेबिलिटी का पता लगाया था और कंपनी को इसकी जानकारी दी थी. 23 नवंबर को कंपनी ने एंजल इनवेस्टर अनिरुद्ध मालपानी के खिलाफ भी मानहानि का मुकदमा किया.

यहां क्विंट के सवाल के जवाब में व्हाइटहैट जूनियर का आधिकारिक बयान दिया जा रहा है:

“व्हाइटहैट जूनियर सिक्योरिटी और प्राइवेसी के मामलों पर बहुत गंभीर है. हम सहमति से अपने ग्राहकों की बुनियादी इन्फॉर्मेशन (नाम, कॉन्टैक्ट इन्फॉर्मेशन, प्रॉजेक्ट्स और करिकुलम से संबंधित इन्फो, तस्वीरें) को स्टोर करते हैं. हमारे एप्लिकेशन्स पर ग्राहकों, कर्मचारियों, सप्लायर्स का कोई दूसरा पीआईआई नहीं है जिसे व्हाइटहैट जूनियर ने जमा किया है या प्रोसेस किया है. हम अपने ग्राहकों के अनुभवों को अच्छा बनाने और एप्लिकेशन के प्रदर्शन में सुधार करने की हमेशा कोशिश करते हैं. इसके लिए हम अनेक टूल्स और सॉफ्टवेयर का इस्तेमाल करते हैं जो इंडस्ट्री से वैलिडेटेड हैं.

व्हाइटहैट जूनियर को सिक्योरिटी वल्नरेबिलिटीज के बारे में जो कुछ भी पता चला, उसे देखते हुए हमने अपने सेटअप की समीक्षा की है और चिन्हित वल्नरेबिलिटी को पैच कर दिया है. कंपनी ने अपने एप्लिकेशन्स और सर्वर्स की वल्नरेबिलिटीज के आइडेंटिफिकेशन और डिटेक्शन को तुरंत दुरुस्त कर दिया है.

हम बग बाउंटी प्रोग्राम सहित अपने सिक्योरिटी और प्राइवेसी सेटअप को मजबूत करने के लिए निरंतर प्रयास करते हैं और आगे भी करते रहेंगे.”

Also ReadSnack Video, अलीबाबा वर्कबेंच समेत 43 मोबाइल ऐप पर नया बैन, लिस्ट

(हैलो दोस्तों! हमारे Telegram चैनल से जुड़े रहिए यहां)

Published: 26 Nov 2020,07:43 AM IST

Read More
ADVERTISEMENT
SCROLL FOR NEXT