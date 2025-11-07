Een Amerikaans softwarebedrijf heeft een gevoelig datalek dat werd veroorzaakt door de gestolen inloggegevens van een ex-medewerker geschikt voor een bedrag van 5,1 miljoen dollar. Ook zal Illuminate Education verschillende beveiligingsmaatregelen moeten doorvoeren. Illuminate Education biedt software voor onderwijsinstellingen. In 2021 kreeg het bedrijf met een datalek te maken, waarbij een aanvaller de gegevens van miljoenen leerlingen wist te stelen.

Alleen in de staat Californië ging het om drie miljoen leerlingen. De gestolen data bestond onder andere uit gevoelige persoonlijk en medische informatie, waaronder naam, of de leerling speciaal onderwijs kreeg en gecodeerde medische aandoeningen. De aanvaller wist toegang tot systemen van Illuminate te krijgen via de inloggegevens van een ex-medewerker die al jaren eerder was vertrokken. Vervolgens maakte de aanvaller nieuwe inloggegevens aan om toegang tot het netwerk te behouden. De dagen daarna was de aanvaller een aantal dagen bezig met het stelen en verwijderen van de gegevens van leerlingen.

Volgens de procureur-generaal van de staat Californië heeft het softwarebedrijf grote steken laten vallen als het om de digitale beveiliging gaat. Zo waren de inloggegevens van de ex-medewerker niet verwijderd, die "high level" toegang had. Daarnaast werd er niet op verdachte inlogpogingen gemonitord of hiervoor gewaarschuwd. Verder bleek het softwarebedrijf de actieve databases en back-ups daarvan niet te hebben gescheiden. Toen de aanvaller toegang kreeg tot het systeem met de actieve databases kon hij ook de back-ups compromitteren. Als laatste deed het softwarebedrijf valse en misleidende claims in het privacybeleid, waaronder dat genomen beveiligingsmaatregelen aan wettelijke vereisten voldeden, terwijl dat niet zo was.

Naast een schikkingsbedrag van in totaal 5,1 miljoen dollar moet het softwarebedrijf ook verschillende maatregelen doorvoeren. Het gaat onder andere om het implementeren van acces control en accountbeheer, waaronder het verwijderen van inloggegevens van ex-medewerkers. Tevens moet er onderzoek worden uitgevoerd dat alle geldige inloggegevens ook toebehoren aan huidige medewerkers. Ook moet er real-time monitoring voor verdachte toegang en activiteiten worden geïmplementeerd. Verder moeten back-ups van de databases niet meer op hetzelfde netwerk worden bewaard waar de actieve databases zich bevinden. Als laatste moet Illuminate scholen verzoeken om de data te controleren die ze bij het softwarebedrijf hebben opgeslagen, en daarbij te letten op de bewaarduur en het verwijderen van gegevens.