Bedrijf lekt via 10 jaar oud wachtwoord ex-medewerker data 10 miljoen leerlingen

In dit artikel:

Illuminate Education, een Amerikaans bedrijf dat cloudsoftware levert aan basisscholen en middelbare scholen, liep in 2021 een datalek waarbij persoonlijke gegevens van ongeveer 10,1 miljoen leerlingen werden buitgemaakt. De Amerikaanse toezichthouder FTC stelt dat de aanvaller toegang kreeg tot de AWS-omgeving van Illuminate via inloggegevens van een medewerker die al jaren niet meer in dienst was; die credentials waren ongeveer tien jaar oud. Het gehackte account had IAM-adminrechten. Met die rechten maakte de aanvaller een nieuw account en wist zo verplichte MFA te omzeilen, waarna onversleutelde leerlinggegevens in S3-buckets werden doorzocht en geëxfiltreerd. Gestolen informatie omvatte onder meer namen, medische gegevens en of leerlingen speciaal onderwijs ontvingen. Hoe de aanvaller aan de oude inloggegevens kwam is niet bekend.

De FTC concludeert dat Illuminate herhaaldelijk waarschuwingen voor ernstige beveiligingsgebreken heeft gekregen van externe onderzoekers (2020–2022) maar onvoldoende opvolging gaf. Genoemde tekortkomingen betroffen verouderde software, zwakke inloggegevens en IAM-beleid, ontbrekende monitoring en logging, slechte S3-configuratie en het niet verwijderen van niet-noodzakelijke data. Ook werd vertraagde communicatie naar leerlingen, scholen en ouders vastgesteld.

Als resultaat van een schikking moet Illuminate onder meer stoppen met misleidende claims over cybersecurity, onnodige leerlinggegevens verwijderen en bewaren, een beleid voor dataverwijdering en een informatiebeveiligingsprogramma invoeren, en toekomstige datalekken melden aan de FTC. De zaak onderstreept het belang van lifecycle-beheer van accounts, least-privilege en versleuteling bij clouddiensten, zeker bij diensten voor kinderen.