Federal Ticaret Komisyonu (FTC), eğitim teknolojisi sağlayıcısı Illuminate Education'a, 2021'de 10 milyon öğrencinin bilgilerinin açığa çıkmasına neden olan bir olayla ilgili iddiaları çözüme kavuşturmak için gereksiz öğrenci verilerini silmesini ve güvenliğini artırmasını teklif ediyor.
Ajansın kararı, Kaliforniya, Connecticut ve New York eyaletlerinin aynı olayla ilgili olarak Illuminate'e karşı açtıkları davaları 5,1 milyon dolar karşılığında çözmeyi kabul etmesinden kısa bir süre sonra geldi.
Illuminate Education, K-12 okulları ve okul bölgeleri için bulut tabanlı bir teknoloji ürünü satıcısıdır.
Akademik performans, değerlendirmeler, katılım, planlama ile demografik ve davranışsal verileri kapsayan öğrenci verilerini toplamak, düzenlemek, analiz etmek ve raporlamak için bir araç paketi sunar.
Konuların hassasiyeti nedeniyle bu verileri koruma ihtiyacının artmasına rağmen FTC, şirketin güvenlik programında erişim kontrollerinin eksikliği, zayıf tespit ve yanıt, zayıf güvenlik açığı izleme ve yama uygulamaları ve düz metin depolama dahil olmak üzere birçok düzeyde başarısız olduğunu söylüyor.
Illuminate'in güvenlik hataları, Aralık 2021'de bir bilgisayar korsanının, üç yıldan fazla bir süre önce şirketten ayrılan eski bir çalışanın kimlik bilgilerini kullanarak şirketin sistemlerine erişmesiyle ortaya çıktı.
Bilgisayar korsanı, kimlik bilgilerini kullanarak Illuminate'in üçüncü taraf bir bulut sağlayıcısında barındırılan veritabanlarına erişerek yaklaşık 10,1 milyon öğrencinin kişisel verilerini sızdırdı:
FTC, Illuminate'in üçüncü taraf bir satıcıdan ağlarının güvenlik kusurlarıyla dolu olduğuna dair uyarılar aldığını belirtiyor. Ancak şirket bunları düzeltmek için herhangi bir işlem yapmadı ve hatta öğrenci verilerini Ocak 2022'ye kadar düz metin olarak saklamaya devam etti.
Şirket ayrıca, sözleşmelerde "uygulamalarının ve prosedürlerinin özel sektörün en iyi uygulamalarını karşılamak veya aşmak için tasarlandığını" iddia ederek ve bu önlemlerden biri olarak özellikle veri şifrelemesinden bahsederek güvenlik duruşunu ve veri koruma önlemlerini okullara yanlış tanıttı.
FTC, Illuminate'in etkilenen okul bölgelerini bilgilendirmek için olaydan sonra iki yıl beklediğini, bu durumun açığa çıkan kullanıcıları uzun bir süre boyunca kimlik avı ve diğer saldırı riskiyle karşı karşıya bıraktığını söylüyor.
Bu nedenlerden dolayı kurum, iddiaları çözüme kavuşturmak için şirketin bir veri güvenliği programı aracılığıyla savunmasını geliştirmesini talep edecek.
Anlaşmanın bir parçası olarak Illuminate'in tüm gereksiz verileri silmesi, kamuya açık bir veri saklama planı izlemesi, güvenlik uygulamalarını yanlış tanıtmayı bırakması ve veri ihlali olaylarını diğer yetkililere bildirirken FTC'yi bilgilendirmesi gerekecek.
Sipariş kesinleşiyor ve yakında 30 gün boyunca kamuoyunun yorumuna açılacak. Nihai kararın ihlali dava başına 51.744 dolara kadar para cezasına neden olacak.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Kore, saldırıya uğramış IP kameralardan mahrem videolar satan şüphelileri tutukladı
Uçaktaki Evil Twin Wi-Fi saldırılarının arkasındaki adam 7 yıl hapis cezasına çarptırıldı
FCC, devlet korsanlığı risklerine rağmen telekomünikasyon şirketlerine yönelik siber güvenlik kurallarını geri alıyor
Beş kişi, Kuzey Korelilerin ABD şirketlerine sızmasına yardım etme suçlamasını kabul etti
İsveç'in önde gelen yazılım tedarikçisindeki veri ihlali 1,5 milyon kişiyi etkiliyor
Kaynak: Bleeping Computer