La startup technologique basée en Inde, Salesken.ai, a sécurisé un serveur exposé qui renversait des données privées et sensibles sur l’un de ses clients, Byju’s, un géant de la technologie de l’éducation et la startup la plus précieuse d’Inde.
Le serveur est resté sans protection depuis au moins le 14 juin, selon les données historiques fournies par Shodan, un moteur de recherche pour les appareils et bases de données exposés. Parce que le serveur était sans mot de passe, n’importe qui pouvait accéder aux données à l’intérieur. Le chercheur en sécurité Anurag Sen a trouvé le serveur exposé et a demandé à TechCrunch de l’aider à le signaler à l’entreprise.
Le serveur a été mis hors ligne peu de temps après que nous ayons contacté Salesken.ai mardi.
Salesken.ai fournit une technologie de relation client à des entreprises comme Byju pour mieux interagir avec les clients. La startup basée à Bengaluru a levé 8 millions de dollars en financement de série A auprès de Sequoia Capital India en 2020, deux ans après la création de la société.
Une grande partie des données contenues sur le serveur exposé concernaient WhiteHat Jr., une école de codage en ligne pour étudiants en Inde et aux États-Unis, que Byju’s a acheté pour 300 millions de dollars en 2020. Byju’s est actuellement évalué à plus de 16 milliards de dollars après avoir levé 1,5 milliard de dollars plus tôt. cette année.
Le serveur contenait les noms et les cours suivis par les élèves ainsi que les adresses e-mail et les numéros de téléphone des parents et des enseignants. Le serveur contenait également d’autres données relatives aux élèves, telles que les journaux de discussion entre les parents – identifiés par leur numéro de téléphone – et le personnel de WhiteHat Jr., ainsi que des commentaires enregistrés par les enseignants sur leurs élèves.
Le serveur contenait également des copies d’e-mails contenant des codes pour réinitialiser les comptes d’utilisateurs et d’autres données internes de Salesken.ai.
Surga Thilakan, co-fondateur et directeur général de Salesken.ai, a déclaré à TechCrunch que la startup « évaluait » l’incident de sécurité mais n’a pas contesté le type de données trouvées sur le serveur exposé.
« Notre évaluation suggère que l’appareil exposé semble être une instance de non-production et de mise en scène de l’un de nos services d’intégration ayant accès à moins de 1% des journaux de vente en fin de vie basés en Inde pendant quinze jours », a déclaré Thilakan. « Salesken.ai suit des normes strictes de sécurité des données et est certifié selon les normes les plus élevées de sécurité et de sûreté mondiales. Nous avons, par prudence, immédiatement coupé l’accès à l’appareil cloud. »
Thilakan n’a pas répondu à un e-mail de suivi de TechCrunch demandant pourquoi les données réelles des utilisateurs étaient stockées dans ce que l’entreprise prétend être un serveur « non-production, de mise en scène ». La société ne dirait pas non plus si elle dispose de journaux ou de preuves pour déterminer si les données ont été consultées ou téléchargées en raison de la faille de sécurité.
Le porte-parole de WhiteHat Jr., Sameer Bajaj, a déclaré que la société « communique actuellement avec Salesken.ai au sujet de l’incident et prendra les mesures appropriées conformément à nos politiques de sécurité rigoureuses ».