EdTech-компания Illuminate оштрафована на 5,1 млн долл за утечку данных студентов

7 ноября, 2025, 13:00

Компания Illuminate Education выплатит штраф в размере 5,1 млн долл за халатное отношение к защите данных, приведшее к масштабной утечке персональной информации миллионов учащихся в США.

Источник: freepik

Американская компания Illuminate Education, разрабатывающая образовательные цифровые платформы, согласилась выплатить 5,1 млн долларов в рамках мирового соглашения с генеральными прокурорами Калифорнии, Коннектикута и Нью-Йорка. Как сообщается в официальном заявлении, расследование показало, что нарушение произошло из-за серьезных недостатков в системе защиты данных компании.

Инцидент произошел в декабре 2021 года, когда злоумышленник получил доступ к сети Illuminate, воспользовавшись учетной записью бывшего сотрудника. В результате были скомпрометированы базы данных с информацией о миллионах учащихся, включая около 3 млн школьников в Калифорнии, из которых у более чем 434 тыс. были похищены чувствительные персональные сведения — такие как имя, раса, сведения о специальных образовательных потребностях и закодированные медицинские диагнозы.

Проверка установила, что Illuminate не удаляла логины уволенных сотрудников, не мониторила систему на предмет подозрительной активности и хранила резервные копии на том же сегменте сети, что и активные базы, что привело к двойному компрометированию. Кроме того, в политике конфиденциальности компания ложно утверждала, что ее меры соответствуют требованиям законодательства о защите данных.

Продолжение ниже

Кто есть кто на рынке SGRC

Согласно условиям соглашения, Illuminate обязана внедрить систему мониторинга подозрительной активности в реальном времени, пересмотреть политику доступа и управления учетными записями, а также разнести активные и резервные базы данных по разным сегментам сети.

Как отметил генеральный прокурор Калифорнии Роб Бонта, компания «допустила тревожный уровень халатности в обращении с детскими данными» и нарушила закон K-12 Pupil Online Personal Information Protection Act (KOPIPA), регулирующий безопасность онлайн-сервисов для школ.

Это не первый случай, когда слабая киберзащита приводит к серьезным последствиям для бизнеса. Как ранее писал SecPost, финансовые и репутационные потери после инцидентов ИБ нередко становятся причиной закрытия компаний.

Теги:
Регулирование Угрозы Школа

Читайте также