La Comisión Federal de Comercio (FTC) propone que el proveedor de tecnología educativa Illuminate Education elimine los datos innecesarios de los estudiantes y mejore su seguridad para resolver las acusaciones relacionadas con un incidente en 2021 que expuso información de 10 millones de estudiantes.
La decisión de la agencia se produce poco después de que los estados de California, Connecticut y Nueva York acordaron resolver sus casos legales contra Illuminate, relacionados con el mismo incidente. por 5,1 millones de dólares.
Illuminate Education es un proveedor de productos de tecnología basado en la nube para escuelas y distritos escolares K-12.
Ofrece un conjunto de herramientas para recopilar, organizar, analizar e informar datos de los estudiantes, que cubren el rendimiento académico, las evaluaciones, la asistencia, la programación y los datos demográficos y de comportamiento.
A pesar de la mayor necesidad de proteger estos datos debido a la sensibilidad de los sujetos, la FTC dice que la compañía ha fallado en su programa de seguridad en múltiples niveles, incluida la falta de controles de acceso, detección y respuesta deficientes, prácticas deficientes de monitoreo y parcheo de vulnerabilidades y almacenamiento de texto sin formato.
Las fallas de seguridad de Illuminate quedaron expuestas en diciembre de 2021, cuando un pirata informático obtuvo acceso a los sistemas de la empresa utilizando credenciales de un ex empleado que había dejado la empresa más de tres años antes.
Utilizando las credenciales, el hacker accedió a las bases de datos de Illuminate, que estaban alojadas en un proveedor de nube externo, extrayendo los datos personales de aproximadamente 10,1 millones de estudiantes, entre ellos:
- Direcciones de correo electrónico
- Direcciones físicas
- fechas de nacimiento
- Registros de estudiantes
- Información relacionada con la salud
La FTC señala que Illuminate recibió advertencias de un proveedor externo de que sus redes estaban plagadas de fallas de seguridad. Sin embargo, la empresa no tomó ninguna medida para solucionarlos e incluso continuó almacenando los datos de los estudiantes en texto sin formato hasta enero de 2022.
La empresa también tergiversó su postura de seguridad y sus medidas de protección de datos ante las escuelas, afirmando en los contratos que “sus prácticas y procedimientos están diseñados para cumplir o superar las mejores prácticas de la industria privada” y mencionando específicamente el cifrado de datos como una de estas medidas.
La FTC dice que Illuminate esperó dos años después del incidente para notificar a los distritos escolares afectados, dejando a los usuarios expuestos en riesgo de phishing y otros ataques durante un período prolongado.
Por estos motivos, la agencia exigirá a la empresa que mejore sus defensas mediante un programa de seguridad de datos para resolver las acusaciones.
Como parte del acuerdoIlluminate tendrá que eliminar todos los datos innecesarios, seguir un cronograma público de retención de datos, dejar de tergiversar sus prácticas de seguridad y notificar a la FTC cuando informe incidentes de violación de datos a otras autoridades.
La orden se está ultimando y pronto estará abierta a comentarios públicos durante 30 días. Las violaciones de la orden final incurrirán en una multa civil de hasta $51,744 por caso.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
