આ નબળાઇથી એડુરેકા યૂઝરના 25જીબી સુધી ડેટા લીક થઇ શકે છે, જેમાં ઇમેલ એડ્રેસ, પૂરું નામ તથા ફોન નંબર સહિત 45 મિલિયનથી વધારે રેકોર્ડ છે
સેફ્ટીડિટેક્ટિવ્સ પર સિક્યોરિટી એક્સપર્ટ્સની ટીમે ભારતીય ઇ-લર્નિંગ પ્લેટફોર્મ, એડુરેકામાં ભારે નબળાઇ શોધી કાઢવાની જાહેરાત કરી, જેનાથી 2 મિલિયન સુધી યૂઝર્સ પ્રભાવિત થશે. પ્રભાવિત બધાં યૂઝર્સ ભારતમાં સ્થિત છે.
ડેટા લીકના વિવરણ તથા ઓનલાઇન લીક થયેલ ઇમેજના નમૂનાની સાથે પૂરો રિપોર્ટ સેફ્ટીડિટેક્ટિવ્સની સાઇટ https://www.safetydetectives.com/blog/edureka-leak-report/ પર પ્રકાશિત કરવામાં આવી છે.
સેફ્ટીડિટેક્ટિવ્સમાં લીડ રિસર્ચર અનુરાગ સેને જણાવ્યું કે, “વ્યક્તિગત જાણકારી વારંવાર લીક થવાથી પ્રભાવિત યૂઝરની છબી વધારે ખરાબ થાય છે, કારણકે તેનાથી મૈલિશિયસ હેકર્સને પોતાની સોશિયલ-એન્જીનિયર્ડ એટેક લોન્ચ કરવા માટે સોર્સ સામગ્રી મળે છે, જે વિવિધ રીતે સ્કેમ કરે છે, યૂઝર સંદેહાસ્પદ ક્લિક-થ્રૂને પ્રેરિત કરે છે, માલવેર ડાઉનલોડ કરે છે અને ભવિષ્યમાં મોટા પાયે ઘૂસણખોરી કરવાના વિચાર સાથે વિશ્વાસ અને પ્રતિષ્ઠા સ્થાપિત કરે છે.” તેમણે જણાવ્યું , “એડુરેકા લોકોને પ્રોફેશનલ સ્તરના ઓનલાઇન કોર્સ પ્રદાન કરે છે. તેના યૂઝર મહત્વપૂર્ણ તથા શક્તિશાળી પદ પર હોય છે, જેની પાસે સંવેદનશઈલ જાણકારી હોય છે. તેમની કંપનીની સર્વર સુરક્ષા પર એટેક પૂરા સંગઠન, જેમકે વિશ્વવિદ્યાલય, કંપની અથવા સરકારી વિભાગો માટે વિનાશકારી હોય શકે છે.”
એડુરેકા એક પ્રીમિયર ઇ-લર્નિંગ પ્લેટફોર્મ તથા ઓનલાઇન એજ્યુકેશન માર્કેટપ્લેસ છે, જેની સ્થાપના 2011માં લવલીન ભાટિયા દ્વારા ભાગીદારીમાં કરવામાં આવી હતી. આ ભારતીય વિશ્વવિદ્યાલયોના ઉચ્ચ શિક્ષાના કોર્સ, માસ્ટર તથા પોસ્ટગ્રેજ્યુએટ કોર્સ પર ઓનલાઇન શિક્ષા કાર્યક્રમ પ્રદાન કરે છે. આ લાઇવ અને રિકોર્ડેડ ઇન્સ્ટ્રક્ટર આધારિત કાર્યક્રમનો ઉપયોગ કરી ડિજિટલી પાવર્ડ કૌશલ સુધારમાં વર્કિંગ પ્રોફેશનલ્સની મદદ કરે છે.
અનુરાગ સેનના નેતૃત્વમાં સેફ્ટીડિટેક્ટિવ્સ સિક્યોરિટી રિસર્ચ ટીમે મોટી માત્રામાં અત્યાધુનિક સંવેદનશીલ જાણકારી શોધી કાઢી, જે 2 મિલિયન સુધી એડુરેકા યૂઝર્સની હતી. આ જાણકારી કોઇપણ પાસવર્ડ સુરક્ષા વિના જનપટલ પર ઉપસ્થિત હતી. આનો અર્થ એ છે કે માત્ર સર્વરના આઇપી એડ્રેસ ખબર હોવા પર યૂઝર નેમ, ઇમેઇલ એડ્રેસ, ફોન નંબર્સ, લોગ ઇન એક્ટિવિટી રેકોર્ડ્સ અને અમેરિકામાં હોસ્ટેડ એમેઝોન સર્વર પર વિવિધ અધિકૃત ટોકન માહિતી સાથે પૂરા સંવેદનશીલ ડેટાબેસ પ્રાપ્ત કરી શકાય છે.
સેફ્ટીડિટેક્ટિવ્સની ટીમે એડુરેકાની આ નબળાઇની તપાસ 1 ઓગસ્ટ, 2020એ વિશેષ પોસ્ટ્સ પર નિયમિત આઇપી એડ્રેસ ચેકમાં લગાવી લીધી હતી. પોતાના સિક્યોરિટી પ્રોટોકોલના અનુરુપ સેફ્ટીડિટેક્ટિવ્સે 6 ઓગસ્ટ, 2020એ એડુરેકાથી સંપર્ક કરી કંપનીને તેની શોધ વિશે બતાવવાનો પ્રયત્ન કર્યો. પ્રતિક્રિયા ન મળતાં સેફ્ટીડિટેક્ટિવ્સની ટીમે 13 ઓગસ્ટ, 2020એ ભારતીય કોમ્પ્યૂટર ઇમરજન્સી રિસ્પોન્સ ટીમ (સર્ટ-ઇન)થી સંપર્ક કર્યો, જેના પછી, જલ્દી એડુરેકાના સર્વર તથા ડેટાને સુરક્ષિચ કરવામાં આવ્યાં.
જો એડુરેકા તેના પ્લેટફોર્મ્સ પર ઓફેન્સિવ સિક્યોરિટી ટેસ્ટિંગની શ્રેષ્ઠ વિધિયોંને વધારે સક્રિયતાથી ક્રિયાન્વિત કરે, તો આ ડેટા લીકને સરળતાથી ટાળી શકાય છે.
