Společnost Illuminate Education dosáhla vyrovnání s FTC ohledně porušení dat v roce 2021

Potápěčský přehled:

• The Federální obchodní komise v pondělí oznámila, že bude vyžadovat, aby společnost Illuminate Education zavedla program zabezpečení dat, aby vyřešila obvinění, že společnost nedokázala ochránit data studentů, což vedlo k narušení bezpečnosti v prosinci 2021, které odhalilo osobní údaje více než 10 milionů studentů.
• Podle FTC, ačkoliv dodavatel třetí strany najatý Illuminate, aby provedl hodnocení kybernetické bezpečnosti, upozornil ed tech společnost na četná bezpečnostní zranitelnost více než rok před únikem dat, společnost tyto problémy řádně neřešila.
• Mluvčí FTC v úterý řekl, že navrhovaný příkaz a stížnost proti Illuminate budou zveřejněny ve federálním rejstříku koncem tohoto týdne. Zveřejnění tohoto „balíčku souhlasných dohod“ zahájí 30denní lhůtu pro veřejné připomínky, než bude dokončena.

Statistiky potápění:

Podle stížnosti FTC data vystavená porušením Illuminate v roce 2021 zahrnovala e-mailové a poštovní adresy studentů, data narození, školní záznamy a informace týkající se zdraví. Komise dodala, že některé z problémů označených Illuminate v jejích hodnoceních kybernetické bezpečnosti třetích stran zahrnovaly nedostatek kontrol, kdo měl přístup k informacím studentů a selhání při šifrování dat studentů.

Kromě toho FTC uvedla, že Illuminate neinformovalo některé postižené okresy – představující kolektiv 380 000 studentů – téměř dva roky po incidentu, tvrdila komise.

Porušení mělo dopad na některé z největších školských systémů v zemi, včetně New York City Public Schools a Sjednocená školní čtvrť v Los Angeles.

Podle navrhovaného příkazu FTC by společnost Illuminate musela:

• Přestaňte zkreslovat své postupy v oblasti zabezpečení dat a ochrany soukromí, včetně toho, jak rychle bude informovat okresy a studenty o relevantních narušeních dat.
• Vymažte osobní údaje, které společnost již nepoužívá k poskytování požadovaných služeb.
• Vytvořte a provádějte komplexní program zabezpečení informací, který chrání bezpečnost, dostupnost a důvěrnost jakýchkoli shromážděných osobních údajů.
• Informujte FTC, pokud společnost upozorní jinou federální, státní nebo místní vládu na porušení ochrany osobních údajů ovlivňující osobní údaje uživatelů.

„Illuminate se zavázala zabezpečit a chránit osobní informace o dětech a neučinila tak,“ uvedl v pondělním prohlášení Christopher Mufarrige, ředitel Úřadu pro ochranu spotřebitelů FTC. „Dnešní akce je důležitým připomenutím pro společnosti, že FTC je bude činit k odpovědnosti, pokud nedodrží své sliby o ochraně soukromí vůči spotřebitelům, zejména pokud se jedná o lékařské diagnózy dětí a další osobní údaje.“

V roce 2022 Illuminate koupila jiná ed tech společnost, renesance.

V prohlášení zaslaném e-mailem K-12 Dive v pondělí mluvčí Illuminate uvedl, že společnost Renaissance začlenila produkty Illuminate „do svého programu kybernetické bezpečnosti a ochrany dat, který zahrnuje robustní bezpečnostní protokoly a kontroly používané k ochraně integrity a důvěrnosti dat, která nám svěřily školy, pedagogové a rodiny.

Narušení dat Illuminate není nejnovějším vysoce výkonným narušením, které postihlo sektor K-12.

V lednu 2025 PowerSchool informoval okresy, že se stal obětí rozsáhlého narušení, které nakonec zasáhlo více než 60 milionů studentů a 10 milionů učitelů. Hacker zodpovědný za incident – ​​19letý vysokoškolský student – ​​byl nedávno odsouzen ke čtyřem letům vězení a téměř 14,1 milionu dolarů v restituci.

Nějaký státní představitelé začali vyšetřovat PowerSchool kvůli tomuto porušení.

V září např. Texas podal žalobu proti PowerSchool za údajné selhání při ochraně citlivých dat studentů a učitelů. Podle texaského generálního prokurátora Kena Paxtona narušení odhalilo osobní identifikační a zdravotní informace více než 880 000 dětí a učitelů ve státě.