बच्चों के ऑनलाइन कोडिंग प्लेटफॉर्म व्हाइटहैट जूनियर ने 2.8 लाख स्टूडेंट्स और टीचर्स के पर्सनल डेटा को कई बग के जरिए (जब तक कंपनी ने इसे दुरुस्त नहीं कर दिया) खतरे में डाला हुआ था. ऐसा क्विंट को पता चला है.
एक स्वतंत्र सिक्योरिटी रिसर्च कंपनी ने बायजू के व्हाइटहैट जूनियर के बारे में यह खुलासा किया है. इसके हिसाब से व्हाइटहैट जूनियर ने अपने बैकएंड सर्वर को ओपन रख छोड़ा था जिससे कई तरह के प्लेनटेक्स्ट डेटा का एक्सेस किया जा सकता था.
इसमें स्टूडेंट्स के नाम, उम्र, जेंडर, तस्वीरें, यूजर आईडी, पेरेंट्स के नाम और प्रोग्रेस रिपोर्ट शामिल हैं और इसे कोई भी बाहरी व्यक्ति देख सकता था.
सिक्योरिटी रिसर्चर ने 19 नवंबर को खतरे के बारे में रिपोर्ट किया था. उसने नाम न छापने की शर्त पर क्विंट को जानकारी दी और बताया कि उसे अगले दिन एकनॉलेजमेंट मेल मिला था, कंपनी ने अपने एडब्ल्यूएस सर्वर के एक्सेस पर 20 नवंबर तक रोक नहीं लगाई थी.
रिसर्चर ने क्विंट को बताया, “मुझे जो पता चला उसके मुताबिक, कंपनी के सर्वर की वल्नरेबिलिटी की वजह से, माता-पिता के नामों सहित 2.80 लाख स्टूडेंट्स का पर्सनल डेटा एक्सपोज्ड था.”
कंपनी के एक प्रवक्ता ने क्विंट के सवालों के जवाब में कहा, “व्हाइटहैट जूनियर सिक्योरिटी और प्राइवेसी के मामलों पर बहुत गंभीर है.” 25 नवंबर को अपडेट किए कंपनी के एक बयान के मुताबिक, ‘’जिम्मेदार खुलासे से हासिल जानकारी के आधार पर, हमने अपने सेटअप की समीक्षा की और 24 घंटे के भीतर विशिष्ट पहचान की कमजोरियों को पैच करने का काम किया.’’
24 नवंबर को क्विंट पर यह स्टोरी पब्लिश होने के बाद, कंपनी के एक प्रवक्ता ने अपडेटेड बयान में कहा, “हम दोहराते हैं कि कंपनी के कंप्यूटर सिस्टम और नेटवर्क पर इस संदर्भ में कोई भी डेटा का ब्रीच नहीं हुआ है, सावधानी की बहुतायत से हम अपनी जांच जारी रख रहे हैं यह सुनिश्चित करने के लिए कि यह केस है, ”
व्हाइटहैट जूनियर को 2018 में करण बजाज ने शुरू किया था. यह एजुकेशनल टेक्नोलॉजी प्लेटफॉर्म है जोकि छह से 18 साल के बच्चों को कोडिंग सिखाता है. अगस्त में इसे 300 मिलियन डॉलर में बायजू ने खरीद लिया था.
माता-पिता और टीचर्स का डेटा
रिसर्चर का कहना है कि व्हाइटहैट जूनियर के सर्वर ने न केवल बच्चों के पर्सनली आइडेंटिफिएबल इन्फॉर्मेशन (पीआईआई) को एक्सपोज होने दिया बल्कि टीचर्स और स्टूडेंट्स के माता-पिता का डेटा भी ओपन ही रहा. साथ ही कंपनी के सैलरी डॉक्युमेंट्स, इंटरनल कंपनी डॉक्युमेंट्स और क्लास के रिकॉर्डेड वीडियो का एक्सेस भी ओपन था.
इसके अलावा कंपनी के एपीआई के जरिए पर्सनल डेटा लीक होते रहे, यानी एक यूजर दूसरे यूजर के ट्रांजैक्शन डीटेल्स सहित सारे डेटा देख सकता था. एक क्यू मैनेजमेंट ऐप के संस्थापक संतोष पाटीदार ने लिंक्डइन पर इस इश्यू को पोस्ट किया और बाद में इसे अपडेट करके लिखा कि इस बग को फिक्स कर दिया गया है.
वैसे रिसर्चर्स ने यह दावा किया है कि कंपनी ने कई महीने तक अपने सर्वर्स को ओपन रखा. लेकिन क्विंट स्वतंत्र रूप से इस बात की पुष्टि नहीं कर पाया कि वल्नरेबिलिटी की सही अवधि क्या थी.
व्हाइटहैट जूनियर के ओपन सर्वर से स्टूडेंट्स का डेटा एक्सपोज
सिक्योरिटी रिसर्चर के अनुसार, व्हाइटहैट जूनियर एमेजन वेब सर्विस (एडब्ल्यूएस) सर्वर का इस्तेमाल करता था और उसे पता चला कि उसके एस3 बकेट को ओपन छोड़ा गया है, जिससे डॉक्युमेंट्स, फाइल्स, डेटा और वीडियो वाले फोल्डर्स का एक्सेस किया जा सकता है.
रिसर्चर ने क्विंट को बताया, “सबसे बड़ी चिंता यह थी कि प्लेटफॉर्म पर साइन अप करने वाले हजारों बच्चों के पर्सनल डेटा को कोई भी हासिल कर सकता था. दूसरे एक्सपोज्ड डेटा के साथ यह भी काफी खतरनाक बात थी.”
पर्सनली आइडेंटिफिएबल इन्फॉर्मेशन या पीआईआई ऐसी कोई भी इन्फॉर्मेशन होती है जिससे किसी व्यक्ति की पहचान की जा सकती है. पर्सनल डेटा प्रोटेक्शन बिल (पीडीपी बिल) के तहत यह संवेदनशील व्यक्तिगत डेटा होता है. संसद में पेश किए गया यह बिल फिलहाल ज्वाइंट पार्लियामेंटरी कमेटी के हवाले है.
डेटा कलेक्शन के सवाल के जवाब में व्हाइटहैट जूनियर ने क्विंट को बताया, “हम सहमति से अपने ग्राहकों की बुनियादी इन्फॉर्मेशन (नाम, कॉन्टैक्ट इन्फॉर्मेशन, प्रॉजेक्ट्स और करिकुलम से संबंधित इन्फो, तस्वीरें) को स्टोर करते हैं.” कंपनी के अनुसार, “हमारे एप्लिकेशन्स पर ग्राहकों, कर्मचारियों, सप्लायर्स का कोई दूसरा पीआईआई नहीं है जिसे व्हाइटहैट जूनियर ने जमा किया है या प्रोसेस किया है.”
रिसर्चर ने कहा कि उसने 26 अक्टूबर को सबसे पहले कंपनी को इस संबंध में जानकारी दी थी लेकिन कंपनी ने इस पर कोई प्रतिक्रिया नहीं दी, न ही इस बात को माना. “मैंने उन्हें मेल भेजा लेकिन उन्होंने कोई जवाब नहीं दिया. मेरे मेल करने के दो हफ्ते बाद तक वल्नरेबिलिटीज एक्टिव रहीं.”
उसने बताया कि उसने 19 और 20 नवंबर को व्हाइटहैट जूनियर के चीफ टेक्नोलॉजी ऑफिसर (सीटीओ) को सीधे मेल किया. मेल में उसने बताया कि उसने और वल्नरेबिलिटीज का भी पता लगाया है जिसमें एक बग शामिल है. इस बग की वजह से लोग कंपनी के सर्वर से फाइल्स भी अपलोड कर सकते हैं. इस मेल के अगले दिन रिसर्चर को जवाब मिला. उसने बताया, “मेरे पास कंपनी के सीटीओ प्रणब दाश का मेल आया जिसमें उन्होंने इन वल्नरेबिलिटीज को माना और कहा कि वे लोग इसे दुरुस्त करेंगे.”
रिसर्चर ने क्विंट को इन ईमेल्स के स्क्रीनशॉट्स भेजे हैं. इन मेल्स में दाश ने रिसर्चर को शुक्रिया अदा किया और कहा, “हमने अपने सभी एस3 बकेट्स पर राइट परमिशन्स को रोक दिया है. क्या अब भी कुछ ओपन है?” फिर उन्होंने रिसर्चर को अलग से एक मेल लिखकर धन्यवाद कहा.
कंपनी ने क्विंट से कहा, “व्हाइटहैट जूनियर को सिक्योरिटी वल्नरेबिलिटीज के बारे में जो कुछ भी पता चला, उसे देखते हुए हमने अपने सेटअप की समीक्षा की है और चिन्हित वल्नरेबिलिटीज को पैच कर दिया है.”
“हम अपने ग्राहकों के अनुभवों को अच्छा बनाने और एप्लिकेशन के प्रदर्शन में सुधार करने की हमेशा कोशिश करते हैं. इसके लिए हम कई टूल्स और सॉफ्टवेयर का इस्तेमाल करते हैं जो इंडस्ट्री से वैलिडेटेड हैं.”
पर्सनल डेटा और ट्रांजैक्शन डीटेल्स को लीक करने वाला एपीआई
संतोष पाटीदार ने एक और मुद्दे की तरफ ध्यान खींचा. वह क्यू मैनेजमेंट ऐप डिंग के संस्थापक हैं. उन्होंने भी एक वल्नरेबिलिटीज की बात की थी जोकि स्टूडेंट्स के माता-पिता पर्सनल डेटा और ट्रांजैक्शन डीटेल्स के भुगतान को लीक कर रहा था.
20 अक्टूबर को पाटीदार ने एक पोस्ट लिखी, “बच्चों के पर्सनल डीटेल्स और उनके ट्रांजैक्शन (खरीदारी) डीटेल्स ओपनली (इतने ओपन नहीं) उपलब्ध हैं. व्हाइटहैट जूनियर बायजू की टीम अपने वेब लोगो को चेक करे. मुझे पक्का है कि आपको कोई न कोई समस्या दिखाई देगी, वरना मुझे डीएम करें.”
बाद में पाटीदार ने अपनी पोस्ट को अपडेट किया, “उन्होंने समस्या सुलझा ली है.” उन्होंने वल्नरेबिलिटीज को स्पष्ट किया और यह खुलासा किया कि एपीआई बच्चों के पर्सनल डेटा को लीक कर रहा था.
“सीटीओ प्रणब दाश ने कल रात मुझसे संपर्क किया और बग के बारे में जानकारी मांगी. अब मुझे यकीन है कि उन्होंने इसे फिक्स कर लिया होगा... उनका एक एपीआई तो बहुत सारा डेटा एक्सपोज कर रहा था. यह वही है लेकिन अब ऑथराइज्ड है, यानी अब कोई समस्या नहीं है. कल रात तक वह आपके ऑथ (ऑथराइजेशन) टोकन (सिक) का इस्तेमाल करते हुए दूसरे यूजर्स के डेटा को एक्सेस दे रहा था.”
व्हाइटहैट जूनियर का विज्ञापन और मानहानि का मुकदमा
व्हाइटहैट जूनियर की सिक्योरिटी का मामला तब उठा है, जब कंपनी को एडवर्टाइजिंग स्टैंडर्ड्स काउंसिल ऑफ इंडिया (एएससीआई) ने फटकार लगाई है. उसने आदेश दिया गया कि वह अपने पांच विज्ञापनों को तुरंत हटाए- चूंकि वे एडवरटाइजिंग स्टैंडर्ड्स का पालन नहीं करते.
कंपनी ने प्रदीन पूनिया नाम के सॉफ्टवेयर इंजीनियर पर 20 करोड़ रुपये की मानहानि का मुकदमा किया था. 21 नवंबर को कंपनी ने कहा कि उसके विज्ञापन में वुल्फ गुप्ता नाम के जिस 13 साल के बच्चे को ऐप डेवलप करते दिखाया गया था, वह ‘काल्पनिक’ था. पूनिया ने कंपनी के ‘वुल्फ गुप्ता’ वाले विज्ञापन और उसके टीचर्स, कलिकुलम के बारे में ट्वीट किया था और यूट्यूब पर वीडियो भी पब्लिश किया था.
पूनिया सिक्योरिटी रिसर्चर्स वाले टेलीग्राम ग्रुप के सदस्य हैं जिसने प्रॉडक्ट की वल्नरेबिलिटी का पता लगाया था और कंपनी को इसकी जानकारी दी थी. 23 नवंबर को कंपनी ने एंजल इनवेस्टर अनिरुद्ध मालपानी के खिलाफ भी मानहानि का मुकदमा किया.
यहां क्विंट के सवाल के जवाब में व्हाइटहैट जूनियर का आधिकारिक बयान दिया जा रहा है:
“व्हाइटहैट जूनियर सिक्योरिटी और प्राइवेसी के मामलों पर बहुत गंभीर है. हम सहमति से अपने ग्राहकों की बुनियादी इन्फॉर्मेशन (नाम, कॉन्टैक्ट इन्फॉर्मेशन, प्रॉजेक्ट्स और करिकुलम से संबंधित इन्फो, तस्वीरें) को स्टोर करते हैं. हमारे एप्लिकेशन्स पर ग्राहकों, कर्मचारियों, सप्लायर्स का कोई दूसरा पीआईआई नहीं है जिसे व्हाइटहैट जूनियर ने जमा किया है या प्रोसेस किया है. हम अपने ग्राहकों के अनुभवों को अच्छा बनाने और एप्लिकेशन के प्रदर्शन में सुधार करने की हमेशा कोशिश करते हैं. इसके लिए हम अनेक टूल्स और सॉफ्टवेयर का इस्तेमाल करते हैं जो इंडस्ट्री से वैलिडेटेड हैं.
व्हाइटहैट जूनियर को सिक्योरिटी वल्नरेबिलिटीज के बारे में जो कुछ भी पता चला, उसे देखते हुए हमने अपने सेटअप की समीक्षा की है और चिन्हित वल्नरेबिलिटी को पैच कर दिया है. कंपनी ने अपने एप्लिकेशन्स और सर्वर्स की वल्नरेबिलिटीज के आइडेंटिफिकेशन और डिटेक्शन को तुरंत दुरुस्त कर दिया है.
हम बग बाउंटी प्रोग्राम सहित अपने सिक्योरिटी और प्राइवेसी सेटअप को मजबूत करने के लिए निरंतर प्रयास करते हैं और आगे भी करते रहेंगे.”
(हैलो दोस्तों! हमारे Telegram चैनल से जुड़े रहिए यहां)