A Federal Trade Commission (FTC) propôs que a empresa de tecnologia educacional Illuminate Education apague dados estudantis desnecessários e fortaleça sua segurança para encerrar acusações relacionadas a um incidente ocorrido em 2021, que expôs informações de 10 milhões de estudantes.
A decisão da agência foi tomada logo após os estados da Califórnia, Connecticut e Nova York concordarem em encerrar seus processos contra a Illuminate, referentes ao mesmo episódio, mediante um acordo de US$ 5,1 milhões.
A Illuminate Education fornece soluções baseadas em nuvem para escolas e distritos do ensino fundamental e médio (K-12).
Seu portfólio inclui ferramentas para coleta, organização, análise e geração de relatórios sobre dados estudantis, abrangendo desempenho acadêmico, avaliações, frequência, calendários, além de informações demográficas e comportamentais.
Apesar da elevada necessidade de proteção dessas informações sensíveis, a FTC aponta falhas graves no programa de segurança da empresa.
Entre os problemas identificados estão a ausência de controles de acesso, baixa capacidade de detecção e resposta a incidentes, monitoramento e aplicação de patches insuficientes, além do armazenamento de dados em texto simples (plain text).
As vulnerabilidades da Illuminate vieram à tona em dezembro de 2021, quando um hacker acessou os sistemas da empresa utilizando credenciais de um ex-funcionário que havia deixado a companhia mais de três anos antes.
Com esses acessos, o invasor extraiu dados pessoais de cerca de 10,1 milhões de estudantes das bases hospedadas em um provedor de nuvem terceirizado.
Entre as informações expostas estavam endereços de e-mail, endereços físicos, datas de nascimento, registros escolares e dados relacionados à saúde.
A FTC destaca que a Illuminate recebeu alertas de um fornecedor externo sobre diversas falhas de segurança em suas redes, mas não adotou medidas para corrigir as vulnerabilidades, mantendo o armazenamento de dados em texto simples até janeiro de 2022.
Além disso, a empresa forneceu informações falsas às escolas sobre suas práticas de segurança e proteção de dados, afirmando em contratos que suas políticas "são projetadas para atender ou superar as melhores práticas da indústria privada", citando especificamente a criptografia como uma dessas medidas.
A agência também critica o fato de a Illuminate ter demorado dois anos para comunicar aos distritos escolares impactados sobre a violação, deixando os usuários vulneráveis a ataques de phishing e outras ameaças por um longo período.
Por essas razões, a FTC exigirá que a empresa implemente um programa robusto de segurança de dados para encerrar as acusações.
O acordo prevê que a Illuminate deve apagar todos os dados desnecessários, seguir uma política pública de retenção de informações, cessar a divulgação incorreta de suas práticas de segurança e notificar a agência ao reportar incidentes de violação de dados a outras autoridades.
A ordem está em fase de finalização e ficará aberta para consulta pública por 30 dias.
O descumprimento da decisão poderá gerar multas civis de até US$ 51.744 por infração.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...