Een Amerikaans softwarebedrijf heeft een gevoelig datalek dat werd veroorzaakt door de gestolen inloggegevens van een ex-medewerker geschikt voor een bedrag van 5,1 miljoen dollar. Ook zal Illuminate Education verschillende beveiligingsmaatregelen moeten doorvoeren. Illuminate Education biedt software voor onderwijsinstellingen. In 2021 kreeg het bedrijf met een datalek te maken, waarbij een aanvaller de gegevens van miljoenen leerlingen wist te stelen.
Alleen in de staat Californië ging het om drie miljoen leerlingen. De gestolen data bestond onder andere uit gevoelige persoonlijk en medische informatie, waaronder naam, of de leerling speciaal onderwijs kreeg en gecodeerde medische aandoeningen. De aanvaller wist toegang tot systemen van Illuminate te krijgen via de inloggegevens van een ex-medewerker die al jaren eerder was vertrokken. Vervolgens maakte de aanvaller nieuwe inloggegevens aan om toegang tot het netwerk te behouden. De dagen daarna was de aanvaller een aantal dagen bezig met het stelen en verwijderen van de gegevens van leerlingen.
Volgens de procureur-generaal van de staat Californië heeft het softwarebedrijf grote steken laten vallen als het om de digitale beveiliging gaat. Zo waren de inloggegevens van de ex-medewerker niet verwijderd, die "high level" toegang had. Daarnaast werd er niet op verdachte inlogpogingen gemonitord of hiervoor gewaarschuwd. Verder bleek het softwarebedrijf de actieve databases en back-ups daarvan niet te hebben gescheiden. Toen de aanvaller toegang kreeg tot het systeem met de actieve databases kon hij ook de back-ups compromitteren. Als laatste deed het softwarebedrijf valse en misleidende claims in het privacybeleid, waaronder dat genomen beveiligingsmaatregelen aan wettelijke vereisten voldeden, terwijl dat niet zo was.
Naast een schikkingsbedrag van in totaal 5,1 miljoen dollar moet het softwarebedrijf ook verschillende maatregelen doorvoeren. Het gaat onder andere om het implementeren van acces control en accountbeheer, waaronder het verwijderen van inloggegevens van ex-medewerkers. Tevens moet er onderzoek worden uitgevoerd dat alle geldige inloggegevens ook toebehoren aan huidige medewerkers. Ook moet er real-time monitoring voor verdachte toegang en activiteiten worden geïmplementeerd. Verder moeten back-ups van de databases niet meer op hetzelfde netwerk worden bewaard waar de actieve databases zich bevinden. Als laatste moet Illuminate scholen verzoeken om de data te controleren die ze bij het softwarebedrijf hebben opgeslagen, en daarbij te letten op de bewaarduur en het verwijderen van gegevens.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Product Owner / Senior Security Officer
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
