Een Amerikaans softwarebedrijf dat diensten aan onderwijsinstellingen levert heeft via een tien jaar oud wachtwoord, van een medewerker die al jaren niet meer in dienst, was de gegevens van ruim tien miljoen leerlingen gelekt. Dat meldt de Amerikaanse toezichthouder FTC. Illuminate Education biedt cloudgebaseerde software voor onderwijsinstellingen in het basis- en voortgezet onderwijs. In 2021 kreeg het bedrijf met een datalek te maken, waarbij een aanvaller de gegevens van 10,1 miljoen leerlingen buitmaakte. De gestolen data bestond onder andere uit gevoelige persoonlijk en medische informatie, waaronder naam, of de leerling speciaal onderwijs kreeg en gecodeerde medische aandoeningen.

Uit het onderzoek naar de aanval bleek dat de aanvaller vijf verschillende inloggegevens had geprobeerd om toegang tot de AWS-omgeving van het softwarebedrijf te krijgen. Uiteindelijk lukte het inloggen met de inloggegevens van een medewerker die al in 2018 was vertrokken. Deze inloggegevens waren op het moment van de aanval zo'n tien jaar oud. Het betreffende account had IAM admin-rechten. De aanvaller gebruikte zijn admin-toegang om een token te genereren voor het aanmaken van een nieuw account, met dezelfde rechten als dat van het gehackte account. Met dit nieuwe account kon hij de verplichte MFA-authenticatie omzeilen en zo uitgebreid in de AWS-omgeving van Illuminate grasduinen. Hoe de inloggegevens in handen van de aanvaller kwamen is niet bekend.

Volgens de FTC liet de cybersecurity van Illuminate ernstig te wensen over en was het hier ook voor gewaarschuwd. Van 2020 tot en met 2022 huurde het softwarebedrijf jaarlijks een externe partij in die beveiligingsonderzoek deed. Begin 2020 stelde deze partij vast dat het netwerk van Illuminate een aantal ernstige kwetsbaarheden bevatte die moesten worden opgelost. Het ging om het gebruik van verouderde software, zwakke inloggegevens, onveilige systeemconfiguraties en zwak IAM ( identity access management) beleid.

De externe partij die het onderzoek had uitgevoerd presenteerde een actieplan, maar dat werd niet adequaat door Illuminate opgevolgd. In februari 2021 deed deze partij een nieuw onderzoek en stelde vast dat de eerder gevonden problemen met betrekking tot het IAM-beleid en zwakke inloggegevens niet waren opgelost. Een interne beveiligingsfunctionaris van Illuminate stelde dat jaar dat de uitgerolde oplossingen voor detectie van datadiefstal en monitoring onvoldoende waren en de systemen kwetsbaar waren voor datalekken.

Verder bleek dat Illuminate persoonlijke informatie van leerlingen onversleuteld in Amazon S3-buckets bewaarde, geen adequate access controls had geïmplementeerd om bij AWS opgeslagen persoonlijke informatie van leerlingen te beveiligen, inactieve accounts te auditen en verwijderen, single sign on (SSO) en MFA voor AWS-diensten toe te passen, S3-buckets niet goed configureerde, beveiligde en monitorde, geen monitoring en logging in het eigen netwerk toepaste, geen gegevens verwijderde die niet langer nodig waren, leerlingen, scholen en ouders niet tijdig informeerde over het datalek en nog tal van andere zaken die mis waren.

De FTC heeft nu met Illuminate een schikking getroffen. Het softwarebedrijf mag geen misleidende claims meer doen over de eigen cybersecurity, moet niet onnodige data van leerlingen verwijderen, moet geen onnodige data meer opslaan, moet beleid opstellen voor het verwijderen van data, moet een informatiebeveiligingsprogramma uitrollen voor het beschermen van persoonlijke gegevens en moet de FTC informeren als het met een nieuw datalek te maken krijgt.