FTC settlement requires Illuminate to delete unnecessary student data

Illuminate Édu : Sécurité des données étudiantes sous surveillance

La Federal Trade Commission (FTC) a conclu un accord avec Illuminate Education, fournisseur de technologies éducatives pour les écoles et districts scolaires américains. Cet accord fait suite à une violation de données survenue en 2021, qui a compromis les informations personnelles de près de 10 millions d’élèves.

La société, qui propose des outils de collecte, d’organisation et d’analyse des données scolaires (performances, assiduité, informations démographiques, etc.), a été critiquée pour des lacunes importantes dans son programme de sécurité. Les défaillances identifiées incluent l’absence de contrôles d’accès adéquats, une détection et une réponse aux incidents insuffisantes, une surveillance et une correction des vulnérabilités laxistes, ainsi que le stockage des données en texte clair.

La violation de décembre 2021 a permis à un pirate d’accéder aux systèmes d’Illuminate en utilisant les identifiants d’un ancien employé. Ces identifiants ont ouvert la voie à l’exfiltration de données sensibles telles que les adresses e-mail, physiques, les dates de naissance, les dossiers scolaires et des informations relatives à la santé des élèves. Il est à noter qu’Illuminate aurait ignoré des avertissements concernant des failles de sécurité et aurait continué à stocker des données étudiantes en clair jusqu’en janvier 2022, tout en faisant des déclarations trompeuses sur ses pratiques de sécurité auprès des établissements scolaires. De plus, l’entreprise a tardé deux ans après l’incident à notifier les districts scolaires impactés.

Points Clés :

• Violation de données exposant 10,1 millions d’élèves.
• Lacunes majeures dans le programme de sécurité d’Illuminate Education.
• Stockage des données étudiantes en texte clair.
• Utilisation d’identifiants obsolètes pour l’accès aux systèmes.
• Communication inexacte des pratiques de sécurité par l’entreprise.
• Retard dans la notification des districts scolaires affectés.

Vulnérabilités (non spécifiées par CVE dans l’article) :

• Manque de contrôles d’accès.
• Faible capacité de détection et de réponse aux incidents.
• Surveillance et correction des vulnérabilités inadéquates.
• Stockage des données en texte clair.
• Utilisation d’identifiants d’anciens employés pour l’accès.

Recommandations / Mesures imposées par la FTC :

• Suppression de toutes les données inutiles.
• Mise en place d’un programme de sécurité des données renforcé.
• Adoption d’un calendrier public de rétention des données.
• Cessation des déclarations inexactes concernant les pratiques de sécurité.
• Notification à la FTC en cas de signalement de violations de données à d’autres autorités.

L’accord finalisé sera soumis à une période de commentaires publics de 30 jours. Toute violation de l’ordre final entraînera une sanction civile pouvant aller jusqu’à 51 744 $ par cas. Par ailleurs, les États de Californie, du Connecticut et de New York ont déjà conclu un accord avec Illuminate pour un montant de 5,1 millions de dollars dans le cadre de leurs propres poursuites judiciaires relatives à cet incident.

Source