"Al exponer descuidadamente la información privada de los niños, el Gobierno egipcio y Academic Assessment pusieron a los niños en riesgo de sufrir graves daños", dijo la investigadora y defensora de los derechos de los niños y tecnología para HRW, Hye Jung Han, en un comunicado.
Señaló que "durante meses, permitieron que cualquiera con una conexión a Internet averiguara quiénes son estos niños, dónde viven y van a la escuela, y cómo ponerse en contacto con ellos directamente".
Los datos sensibles incluían más de 72.000 registros de nombres de niños, fechas de nacimiento, sexo, direcciones de domicilio, direcciones de correo electrónico, números de teléfono, escuelas a las que asisten, nivel de grado, fotos de perfil personal y copias de su pasaporte o documento nacional de identidad.
La información permaneció desprotegida en la red durante al menos ocho meses, dijo HRW, quien añadió que los registros identificaban por su nombre a 110 niños con algún tipo de discapacidad.
La exposición de esta información confidencial pone en peligro la seguridad de estos niños, y el riesgo de uso indebido y explotación de sus datos expone a los niños a graves perjuicios, como la usurpación de identidad, el chantaje y la explotación sexual, y puede tener consecuencias a largo plazo que afecten a sus oportunidades, recordó la ONG.
Los niños habían realizado el Egyptian Scholastic Test (EST), que exigen las universidades egipcias a los estudiantes de secundaria que cursan el "American Diploma", un plan de estudios de secundaria en inglés en Egipto.
Los datos desprotegidos contenían 356.797 archivos, e incluían a niños que solicitaron presentarse al EST entre septiembre de 2020 y diciembre de 2022.
La exposición de los datos fue identificada por Nathaniel Fried, cofundador de Anduin, una empresa de software de inteligencia, y fue verificada por Human Rights Watch.
Un análisis posterior de HRW reveló que los estudiantes afectados proceden de las 27 provincias de Egipto, mientras que un pequeño número -el 0,2 %- procede de otros países, como Arabia Saudí, Argelia, Baréin, Comores, Emiratos Árabes Unidos, Irak, Jordania, Kuwait, el Líbano, Libia, Omán, Palestina, Catar, Siria o Sudán.
Los datos desprotegidos estaban alojados en Amazon Web Services, los servicios de almacenamiento en la nube de Amazon, y permanecieron accesibles hasta que fueron retirados el 15 de marzo, después de que HRW notificara a Amazon la violación de la privacidad de los datos de menores.
"Los niños tienen derecho a una protección especial de su privacidad", afirmó Han y agregó que "el Gobierno egipcio tiene que empezar a proteger a los niños y la privacidad de sus datos, y obligar legalmente a todos los actores a hacer lo mismo".