Американский поставщик образовательных технологий Illuminate Education только что получил предписание от Федеральной торговой комиссии за якобы неспособность не допустить, чтобы злоумышленник украл данные о 10 миллионах учащихся.
FTC потребовала изменить — но не наложила штрафов и не предъявила уголовных обвинений — компании после инцидента в конце декабря 2021 года, когда злоумышленник использовал учётные данные бывшего сотрудника, ушедшего из компании более трёх лет назад, для взлома облачной базы данных фирмы.
Взлом в Illuminate открыл высокочувствительные записи, связанные с 10,1 млн учеников: электронные и почтовые адреса, даты рождения, школьные карточки и даже сведения о состоянии здоровья.
Illuminate рекламировала себя школьным округам как надёжного хранителя информации о студентах, обещая обращаться с данными «как со своими», и в договорных документах представляла свою систему безопасности как соответствующую лучшим практикам, включая шифрование и прочие стандартные меры.
Однако FTC утверждает, что компания не выполнила данные обещания. Уже в январе 2020 года сторонний поставщик предупредил Illuminate о «многочисленных уязвимостях» в её сети, но, по сообщениям, компания сделала мало для их устранения.
Среди предполагаемых нарушений — хранение данных учащихся в открытом виде как минимум до января 2022 года, отсутствие разумных контролей доступа и пренебрежение обнаружением угроз, мониторингом уязвимостей и управлением патчами. Ещё более тяжёлый момент: в жалобе говорится, что компания задержала уведомление некоторых школьных округов о взломе, оставив около 380 000 учеников в неведении почти два года.
«Illuminate пообещала обеспечить безопасность и защиту личной информации о детях, но не выполнила обещание», — сказал Кристофер Мьюфарридж, директор Бюро защиты прав потребителей FTC в официальном пресс‑релизе. «Сегодняшнее действие является важным напоминанием компаниям, что FTC будет привлекать их к ответственности, если они не соблюдают свои обещания в области конфиденциальности, особенно когда речь идёт о медицинских диагнозах детей и другой личной информации».
В рамках соглашения с FTC Illuminate обязана удалить избыточные личные данные, опубликовать и следовать графику их хранения, а также внедрить детальную программу информационной безопасности, охватывающую конфиденциальность, целостность и доступность данных учащихся. Предлагаемый приказ также запрещает компании вводить в заблуждение относительно того, как она обрабатывает безопасность и уведомления о нарушениях. При этом FTC не наложила штрафов.
FTC проголосовала 2‑0 за одобрение жалобы и проекта приказа, после чего открывается 30‑дневный период публичных комментариев перед окончательным утверждением.
Для компании, построившей своё доверие на поддержке школьных округов и родителей, это горькая реальность. Возвышенные обещания — в том числе яркие рекламные тексты о «физических, электронных и процедурных» мерах защиты — не выдержали испытания на практике. Действие FTC подчёркивает более широкое предупреждение для edtech‑компаний: можно сколько угодно поднимать разговор о конфиденциальности и безопасности данных, но если вы не способны обеспечить базовые требования, вас ждёт строгий контроль.
Автор – Carly Page
