Η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) προτείνει στον πάροχο τεχνολογίας εκπαίδευσης Illuminate Education να διαγράψει τα περιττά δεδομένα μαθητών και να βελτιώσει την ασφάλειά του για να διευθετήσει ισχυρισμούς σχετικά με ένα περιστατικό το 2021 που εξέθεσε πληροφορίες 10 εκατομμυρίων μαθητών.
Η απόφαση του οργανισμού έρχεται λίγο αφότου οι πολιτείες της Καλιφόρνια, του Κονέκτικατ και της Νέας Υόρκης συμφώνησαν να διευθετήσουν τις νομικές υποθέσεις τους κατά του Illuminate, που σχετίζονται με το ίδιο περιστατικό. για 5,1 εκατομμύρια δολάρια.
Το Illuminate Education είναι ένας προμηθευτής προϊόντων τεχνολογίας βασισμένο σε σύννεφο για σχολεία και σχολικές περιοχές K-12.
Προσφέρει μια σειρά εργαλείων για τη συλλογή, την οργάνωση, την ανάλυση και την αναφορά δεδομένων των μαθητών, που καλύπτουν την ακαδημαϊκή επίδοση, τις αξιολογήσεις, τη συμμετοχή, τον προγραμματισμό και τα δημογραφικά και συμπεριφορικά δεδομένα.
Παρά την αυξημένη ανάγκη προστασίας αυτών των δεδομένων λόγω της ευαισθησίας των θεμάτων, η FTC λέει ότι η εταιρεία απέτυχε στο πρόγραμμα ασφαλείας της σε πολλά επίπεδα, όπως έλλειψη ελέγχων πρόσβασης, κακή ανίχνευση και απόκριση, αδύναμες πρακτικές παρακολούθησης και επιδιόρθωσης ευπάθειας και αποθήκευση απλού κειμένου.
Οι αστοχίες ασφαλείας του Illuminate αποκαλύφθηκαν τον Δεκέμβριο του 2021, όταν ένας χάκερ απέκτησε πρόσβαση στα συστήματα της εταιρείας χρησιμοποιώντας τα διαπιστευτήρια ενός πρώην υπαλλήλου που είχε εγκαταλείψει την εταιρεία περισσότερα από τρία χρόνια πριν.
Χρησιμοποιώντας τα διαπιστευτήρια, ο χάκερ είχε πρόσβαση στις βάσεις δεδομένων του Illuminate, οι οποίες φιλοξενούνταν σε τρίτο πάροχο cloud, εκμεταλλεύοντας τα προσωπικά δεδομένα περίπου 10,1 εκατομμυρίων μαθητών, συμπεριλαμβανομένων:
- Διευθύνσεις email
- Φυσικές διευθύνσεις
- Ημερομηνίες γέννησης
- Μητρώα μαθητών
- Πληροφορίες σχετικά με την υγεία
Η FTC σημειώνει ότι η Illuminate έλαβε προειδοποιήσεις από τρίτο προμηθευτή ότι τα δίκτυά της ήταν γεμάτα ελαττώματα ασφαλείας. Ωστόσο, η εταιρεία δεν προέβη σε καμία ενέργεια για την αποκατάστασή τους και συνέχισε να αποθηκεύει δεδομένα μαθητών σε απλό κείμενο μέχρι τον Ιανουάριο του 2022.
Η εταιρεία παρουσίασε επίσης εσφαλμένα τη στάση ασφαλείας και τα μέτρα προστασίας δεδομένων στα σχολεία, ισχυριζόμενη στα συμβόλαια ότι «οι πρακτικές και οι διαδικασίες της έχουν σχεδιαστεί για να πληρούν ή να υπερβαίνουν τις βέλτιστες πρακτικές του ιδιωτικού κλάδου» και αναφέροντας συγκεκριμένα την κρυπτογράφηση δεδομένων ως ένα από αυτά τα μέτρα.
Η FTC λέει ότι η Illuminate περίμενε δύο χρόνια μετά το συμβάν για να ειδοποιήσει τις επηρεαζόμενες σχολικές περιοχές, αφήνοντας τους εκτεθειμένους χρήστες σε κίνδυνο phishing και άλλες επιθέσεις για μεγάλο χρονικό διάστημα.
Για αυτούς τους λόγους, η υπηρεσία θα απαιτήσει από την εταιρεία να βελτιώσει την άμυνά της μέσω ενός προγράμματος ασφάλειας δεδομένων για να διευθετήσει τους ισχυρισμούς.
Ως μέρος του συμφωνίατο Illuminate θα πρέπει να διαγράψει όλα τα περιττά δεδομένα, να ακολουθήσει ένα δημόσιο χρονοδιάγραμμα διατήρησης δεδομένων, να σταματήσει να παραποιεί τις πρακτικές ασφαλείας του και να ειδοποιεί την FTC όταν αναφέρει περιστατικά παραβίασης δεδομένων σε άλλες αρχές.
Η παραγγελία ολοκληρώνεται και σύντομα θα ανοίξει για δημόσιο σχόλιο για 30 ημέρες. Οι παραβιάσεις της τελικής παραγγελίας θα επισύρουν αστική ποινή έως και 51.744 $ ανά περίπτωση.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
Related Posts
Ο άνδρας πίσω από τις επιθέσεις του Evil Twin WiFi κατά τη διάρκεια της πτήσης καταδικάζεται σε 7 χρόνια φυλάκιση
Η παραβίαση δεδομένων Doordash αποκαλύπτει ονόματα, διευθύνσεις και πολλά άλλα
Ψεύτικοι ισχυρισμοί θανάτου του LastPass που χρησιμοποιούνται για την παραβίαση των θυρίδων κωδικών πρόσβασης
