Bir Siber Saldırı Öğrenci Gizliliğinin Titrek Halini Aydınlatıyor


Birçok okul bölgesinin öğrencilerin ilerlemesini izlemek için kullandığı yazılım, çocuklarla ilgili son derece gizli bilgileri kaydedebilir: “Zihinsel engellilik.” “Duygusal Bozukluk.” “Evsiz.” “Yıkıcı.” “Nispet.” “Fail.” “Aşırı Konuşma.” “Derslere katılmalı.”

Şimdi bu sistemler, önde gelen öğrenci takip yazılımı sağlayıcısı Illuminate Education’a yakın zamanda gerçekleşen ve New York City ve New York dahil olmak üzere düzinelerce bölgede bir milyondan fazla mevcut ve eski öğrencinin kişisel bilgilerini etkileyen bir siber saldırının ardından yoğun bir inceleme altına giriyor. Los Angeles, ülkenin en büyük devlet okulu sistemleri.

Yetkililer, bazı bölgelerdeki verilerin öğrencilerin adlarını, doğum tarihlerini, ırklarını veya etnik kökenlerini ve test puanlarını içerdiğini söyledi. En az bir bölge, verilerin öğrenci gecikme oranları, göçmen durumu, davranış olayları ve engel tanımları gibi daha samimi bilgiler içerdiğini söyledi.

Bu tür özel bilgilerin ifşa edilmesinin uzun vadeli sonuçları olabilir.

“Kötü bir öğrenciyseniz ve disiplin sorunlarınız varsa ve bu bilgi artık oradaysa, bundan nasıl kurtulursunuz?” Siber güvenlik uzmanı Joe Green ve oğlunun lisesi saldırıdan etkilenen Erie, Colo.’daki bir lise öğrencisinin ebeveyni. “Bu senin geleceğin. Üniversiteye girmek, iş bulmak. Her şey bu.”

Son on yılda, teknoloji şirketleri ve eğitim reformcuları, okulları, öğrencilerin sınıf patlamalarını, devamsızlıklarını ve öğrenme zorluklarını kataloglayabilen ve kategorize edebilen yazılım sistemlerini benimsemeye zorladı. Bu tür araçların amacı iyi niyetlidir: eğitimcilerin risk altındaki öğrencileri belirlemelerine ve müdahale etmelerine yardımcı olmak. Bununla birlikte, bu öğrenci izleme sistemleri yayıldıkça, okul yazılımı satıcılarına yönelik siber saldırılar da arttı. Chicago Devlet Okullarıülkenin üçüncü büyük bölgesi.

Şimdi bazı siber güvenlik ve gizlilik uzmanları, Illuminate Education’a yapılan siber saldırının endüstri ve hükümet düzenleyicileri için bir uyarı anlamına geldiğini söylüyor. Bu, bir ed teknoloji şirketindeki en büyük saldırı olmasa da, bu uzmanlar, veri ihlalinin doğası ve kapsamından rahatsız olduklarını söylüyorlar – bu, bazı durumlarda öğrencilerle ilgili hassas kişisel ayrıntıları veya geçmişe ait öğrenci verilerini içeriyordu. on yıldan fazla. Bazı eğitim teknolojisi şirketlerinin milyonlarca okul çocuğu hakkında hassas bilgiler topladığı bir anda, diyorlar ki, öğrenci verileri için güvenlik önlemleri tamamen yetersiz görünüyor.

Ofisi çocukların ve öğrencilerin mahremiyetini ihlal ettikleri için teknoloji şirketlerine dava açan New Mexico başsavcısı Hector Balderas, “Gerçekten destansı bir başarısızlık oldu” dedi.

Yakın tarihli bir röportajda, Bay Balderas, Kongre’nin öğrenciler için modern, anlamlı veri korumaları yürürlüğe koymada başarısız olduğunu, düzenleyicilerin ise eğitim teknoloji şirketlerini öğrenci veri gizliliği ve güvenliğine karşı gelmekten sorumlu tutmadığını söyledi.

Bay Balderas, “Kesinlikle bir yaptırım ve hesap verebilirlik boşluğu var” dedi.

Illuminate yaptığı açıklamada, “herhangi bir bilginin fiili veya kötüye kullanım girişimine tabi olduğuna dair hiçbir kanıtının olmadığını” ve daha fazla siber saldırıyı önlemek için “güvenlik geliştirmelerini uyguladığını” söyledi.

Yaklaşık on yıl önce, mahremiyet ve güvenlik uzmanları, okullarda karmaşık veri madenciliği araçlarının yayılmasının öğrencilerin kişisel bilgilerinin korunmasını hızla geride bıraktığı konusunda uyarmaya başladılar. Milletvekilleri hemen yanıt verdi.

2014’ten beri California, Colorado ve diğer düzinelerce eyalet, öğrenci veri gizliliği ve güvenlik yasalarını kabul etti. 2014 yılında düzinelerce K-12 ed teknoloji sağlayıcısı ulusal bir Öğrenci Gizlilik Taahhüdü“kapsamlı bir güvenlik programı” sürdürmeyi vaat ediyor.

Taahhüdün destekçileri, aldatıcı gizlilik uygulamalarını denetleyen Federal Ticaret Komisyonu’nun şirketleri taahhütlerini yerine getirebileceğini söyledi. Başkan Obama taahhüdü onayladı2015 yılında FTC’de önemli bir gizlilik konuşmasında katılımcı şirketleri övdü.

FTC, YouTube ve TikTok gibi tüketici hizmetlerinde çocukların mahremiyetini ihlal ettikleri için şirketlere uzun bir cezalandırma geçmişine sahiptir. Aksine sayısız rapor sorunlu mahremiyete sahip ed teknoloji şirketlerinin ve güvenlik uygulamalarıancak, ajans henüz sektörün öğrenci gizliliği taahhüdünü yürürlüğe koymadı.

Mayıs ayında FTC ilan edildi düzenleyicilerin, kişisel verilerini korumak için 13 yaşın altındaki çocuklara yönelik çevrimiçi hizmetler gerektiren federal bir yasayı (Çocukların Çevrimiçi Gizliliğini Koruma Yasası) ihlal eden ed teknoloji şirketlerini çökertmeyi amaçladığını söyledi. FTC sözcüsü Juliana Gruenwald Henderson, ajansın eğitim teknolojisi şirketlerine yönelik bir dizi kamuya açık olmayan soruşturma yürüttüğünü söyledi.

Merkezi Irvine, Kaliforniya’da bulunan Illuminate Education, ülkenin önde gelen öğrenci takip yazılımı satıcılarından biridir.

bu şirketin sitesi hizmetlerinin 5.200 okul bölgesinde 17 milyondan fazla öğrenciye ulaştığını söylüyor. Popüler ürünler arasında bir yoklama sistemi ve çevrimiçi bir not defterinin yanı sıra bir okul platformu bulunur. eğiticiKlima, eğitimcilerin öğrencilerin “sosyal-duygusal davranışlarını” kaydetmelerini ve çocukları yeşil (“yolda”) veya kırmızı (“yolda değil”) olarak renk kodlamasını sağlar.

Illuminate, siber güvenliğini destekledi. 2016 yılında şirket, sektör taahhüdüne imza attığını duyurdu. “koruma desteğini” göstermek için“öğrenci verileri.

Ocak ayında New York City okullarındaki bazı öğretmenlerin çevrimiçi devam ve not defteri sistemlerinin çalışmayı durdurduğunu keşfetmesinin ardından bir siber saldırıyla ilgili endişeler ortaya çıktı. Illuminate, ağının bir kısmında “şüpheli etkinlik” olduğunu fark ettikten sonra bu sistemleri geçici olarak devre dışı bıraktığını söyledi.

New York Şehri Devlet Okulları basın sekreteri Nathaniel Styer, 25 Mart’ta Illuminate’in bölgeye bazı şirket veritabanlarının yetkisiz erişime maruz kaldığını bildirdiğini söyledi. Olayın, yaklaşık 700 yerel okulda yaklaşık 800.000 mevcut ve eski öğrenciyi etkilediğini söyledi.

Etkilenen New York City öğrencileri için veriler, ad ve soyadı, okul adı ve öğrenci kimlik numarasının yanı sıra aşağıdakilerden en az ikisini içeriyordu: doğum tarihi, cinsiyet, ırk veya etnik köken, ev dili ve öğretmen adı gibi sınıf bilgileri. Bazı durumlarda, öğrencilerin engellilik durumu, yani özel eğitim hizmetleri alıp almadıkları da etkilenmiştir.

New York yetkilileri çıldırdıklarını söylediler. 2020’de Illuminate, bölge ile şirketin öğrenci verilerini korumasını ve bir veri ihlali durumunda bölge yetkililerini derhal bilgilendirmesini gerektiren katı bir veri anlaşması imzaladı.

Şehir yetkilileri New York başsavcılığından ve FBI’dan soruşturma yapmasını istedi. Mayıs ayında, New York City’nin kendi araştırmasını yürüten eğitim departmanı, yerel okullara Illuminate ürünlerini kullanmayı bırakmaları talimatını verdi.

Belediye Başkanı Eric Adams, The New York Times’a yaptığı açıklamada, “Öğrencilerimiz yeterli güvenliğe sahip olmaya odaklanan bir ortağı hak ettiler, ancak bunun yerine bilgileri risk altında kaldı” dedi. Bay Adams, yönetiminin “öğrencilerimize vaat edilen güvenliği sağlayamamaktan şirketi tamamen sorumlu tutmak için baskı yaparken” düzenleyici kurumlarla birlikte çalıştığını da sözlerine ekledi.

Kendi soruşturmasını yürüten New York Eyalet Eğitim Departmanına göre, Illuminate saldırısı eyalet çapında 22 okul bölgesinde 174.000 öğrenciyi daha etkiledi.

Son dört ayda Illuminate, Connecticut, California, Colorado, Oklahoma ve Washington Eyaletindeki bir düzineden fazla bölgeyi siber saldırı hakkında bilgilendirdi.

Illuminate, kaç okul bölgesi ve öğrencinin etkilendiğini söylemeyi reddetti. Şirket yaptığı açıklamada, güvenlik olayını araştırmak için dışarıdan uzmanlarla çalıştığını ve 28 Aralık 2021 ile 8 Ocak 2022 arasında öğrenci bilgilerinin “potansiyel olarak yetkisiz erişime maruz kaldığı” sonucuna vardığını söyledi. Açıklamada, Illuminate’in güvenlik operasyonlarına adanmış beş tam zamanlı çalışanı olduğu belirtildi.

Aydınlatmak tutulan öğrenci verileri Amazon Web Services çevrimiçi depolama sisteminde. Siber güvenlik uzmanları, birçok şirketin, veritabanlarını şirket platformları veya ürünlerinden sonra adlandırarak, bilgisayar korsanlarının bulmasını istemeden AWS depolama paketlerini kolaylaştırdığını söyledi.

Saldırının ardından Illuminate, bir baş bilgi güvenliği görevlisi de dahil olmak üzere altı ek tam zamanlı güvenlik ve uyumluluk çalışanı işe aldığını söyledi.

Illuminate’in Colorado’daki bir okul bölgesine gönderdiği bir mektuba göre, siber saldırıdan sonra şirket çok sayıda güvenlik yükseltmesi de yaptı. Mektupta, diğer değişikliklerin yanı sıra, Illuminate, tüm AW.S. hesapları ve şimdi AWS dosyaları için geliştirilmiş oturum açma güvenliğini zorunlu kılıyor.

Ancak bir siber güvenlik risk yönetimi firması olan UpGuard’ın siber araştırmalardan sorumlu başkan yardımcısı Greg Pollock, bir muhabirle yaptığı röportaj sırasında, Illuminate’in kolayca tahmin edilebilir bir isme sahip AWS paketlerinden birini buldu. Muhabir daha sonra okullar için popüler bir Illuminate platformunun adını taşıyan ikinci bir AWS paketi buldu.

Illuminate, güvenlik uygulaması hakkında “güvenlik nedenleriyle” ayrıntı veremeyeceğini söyledi.

Sonrasında bir damla oHem eğitim teknolojisi şirketlerine hem de devlet okullarına yönelik siber saldırılara karşı eğitim yetkilileri, Washington’un öğrencileri korumak için müdahale etme zamanının geldiğini söyledi.

New York Şehri okulları sözcüsü Bay Styer, “Federal düzeydeki değişikliklerin zamanı geldi ve ani ve ülke çapında bir etkisi olabilir” dedi. Örneğin Kongre, okul satıcılarına veri güvenliği gereklilikleri uygulamak için federal eğitim gizlilik kurallarını değiştirebileceğini söyledi. Bu, federal kurumların uymayan şirketlere para cezası vermesini sağlayacaktır.

Bir ajans zaten çöktü – ancak öğrenciler adına değil.

Geçen yıl, Menkul Kıymetler ve Borsa Komisyonu, okullar için önemli bir değerlendirme yazılımı sağlayıcısı olan Pearson’ı yanıltıcı yatırımcılar Milyonlarca öğrencinin doğum tarihlerinin ve e-posta adreslerinin çalındığı bir siber saldırı hakkında. Pearson, suçlamaları halletmek için 1 milyon dolar ödemeyi kabul etti.

Başsavcı Bay Balderas, mali düzenleyicilerin Pearson davasında yatırımcıları korumak için harekete geçmesine sinirlendiğini söyledi – gizlilik düzenleyicileri siber suç mağduru olan okul çocukları için adım atmakta başarısız olsa bile.

Bay Balderas, “Benim endişem, özellikle teknoloji protokollerinin çok sağlam olmadığını düşündüklerinde, bir devlet okulu ortamından yararlanacak kötü aktörler olacağıdır” dedi. “Ve Kongre’nin neden henüz korkmadığını bilmiyorum.”


Kaynak : https://www.nytimes.com/2022/07/31/business/student-privacy-illuminate-hack.html

Yorum yapın