[NYT]A Cyberattack Illuminates the Shaky State of Student Privacy
많은 학군이 학생들의 진도를 추적하기 위해 사용하는 소프트웨어는 “지적 장애”라는 극도로 기밀 정보를 기록할 수 있습니다. “정서 교란”입니다. “노숙자요.” “파괴적이에요.” “항복”입니다. “가해자” “지나친 이야기”요 “튜터링에 참여해야 합니다.”현재 이러한 시스템은 학생 추적 소프트웨어의 선도적인 제공업체인 Illuminate Education에 대한 최근 사이버 공격으로 인해 뉴욕과 LA를 포함한 수십 개 학군에 걸쳐 100만 명 이상의 현재 및 이전 학생들의 개인 정보에 영향을 미친 후 더욱 철저한 조사를 받고 있습니다.홀 시스템입니다.관계자들은 일부 지역에서 그 자료에는 학생들의 이름, 생년월일, 인종 또는 민족, 그리고 시험 점수가 포함되어 있다고 말했습니다. 적어도 한 학군은 그 데이터에 학생들의 지각률, 이주자 상태, 행동 사건, 장애에 대한 설명과 같은 더 친밀한 정보가 포함되어 있다고 말했습니다.이러한 개인 정보의 노출은 장기적인 결과를 초래할 수 있습니다.”만약 여러분이 나쁜 학생이고 규율적인 문제가 있고 그 정보가 지금 밖에 있다면, 어떻게 그것을 회복할 수 있을까요?”라고 아들의 고등학교가 해킹에 의해 영향을 받은 콜로라도주 이리시에 있는 한 고등학생의 부모이자 사이버 보안 전문가인 조 그린은 말했습니다. “그것은 당신의 미래입니다. 대학에 들어가고, 취업을 하는 거죠. 그게 전부예요.”지난 10년 동안, 기술 회사와 교육 개혁가들은 학생들의 교실 폭발, 결석 및 학습 과제를 분류하고 분류할 수 있는 소프트웨어 시스템을 채택하도록 학교에 압력을 가했습니다. 이러한 도구의 목적은 교육자가 위험에 처한 학생을 식별하고 개입할 수 있도록 돕는다는 좋은 의미입니다. 그러나 이러한 학생 추적 시스템이 확산됨에 따라 학교 소프트웨어 공급업체에 대한 사이버 공격도 증가하고 있습니다. 여기에는 미국에서 세 번째로 큰 지역인 시카고 공립 학교에 영향을 준 최근 해킹도 포함됩니다.이제 일부 사이버 보안 및 개인 정보 보호 전문가들은 일루미네이트 교육에 대한 사이버 공격이 산업 및 정부 규제 당국에 대한 경고에 해당한다고 말합니다. EDT 회사에 대한 가장 큰 해킹은 아니었지만, 이러한 전문가들은 데이터 침해의 성격과 범위 때문에 골머리를 앓고 있다고 말합니다. 어떤 경우에는 학생에 대한 섬세한 개인 정보나 10년 이상 거슬러 올라가는 학생 데이터가 관련되기도 했습니다. 일부 교육 기술 회사들이 수백만 명의 학생들에 대한 민감한 정보를 축적하고 있는 이 시점에서, 학생 데이터에 대한 보호 장치들은 완전히 불충분한 것 같다고 그들은 말합니다.”정말 엄청난 실패가 있었습니다,” 라고 뉴멕시코의 검찰총장인 헥터 발데라스가 말했습니다. 그의 사무실은 어린이와 학생들의 사생활을 침해했다는 이유로 기술 회사들을 고소했습니다.최근 인터뷰에서 Balderas는 의회가 학생들에게 현대적이고 의미 있는 데이터 보호를 제정하는 데 실패한 반면, 규제 당국은 기술 회사들에게 학생들의 데이터 개인 정보 보호와 보안을 소홀히 한 책임을 묻지 못했다고 말했습니다.”법 집행과 책임의 차이가 분명히 있습니다,”라고 발데라스 씨는 말했습니다.Illuminate는 성명에서 “어떤 정보도 실제 또는 오용될 가능성이 있다는 증거가 없다”며 “추가적인 사이버 공격을 막기 위해 보안 강화를 시행했다”고 말했습니다.거의 10년 전에 개인 정보 보호 및 보안 전문가들은 학교 내 정교한 데이터 마이닝 도구의 보급이 학생들의 개인 정보에 대한 보호를 빠르게 능가하고 있다고 경고하기 시작했습니다. 국회의원들은 서둘러 대응했습니다.2014년부터 캘리포니아, 콜로라도 및 기타 수십 개 주에서 학생 데이터 개인 정보 보호 및 보안 법을 통과시켰습니다. 2014년, 수십 개의 K-12 ed 기술 제공자들이 “종합 보안 프로그램”을 유지할 것을 약속하며 국가 학생 개인 정보 보호 서약에 서명했습니다.이 서약의 지지자들은 기만적인 사생활 관행을 감시하는 연방 거래 위원회가 회사들의 약속을 지킬 수 있을 것이라고 말했습니다. 오바마 대통령은 2015년 F.T.C.에서 있었던 주요 사생활 보호 연설에서 참여한 회사들을 칭찬하며 이 서약을 지지했습니다.F.T.C.는 유튜브와 틱톡과 같은 소비자 서비스에서 아이들의 사생활을 침해했다는 이유로 벌금을 부과한 회사들을 오랫동안 지켜왔습니다. 그러나, 사생활과 보안 관행에 문제가 있는 EDT 기술 회사들의 수많은 보고에도 불구하고, 그 기관은 아직 그 업계의 학생 사생활 공약을 시행하지 않고 있습니다.5월에, F.T.C.는 규제 당국이 개인 데이터를 보호하기 위해 13세 미만의 어린이를 대상으로 한 온라인 서비스를 요구하는 연방법인 어린이 온라인 프라이버시 보호법을 위반하는 기술 회사들을 단속할 의도라고 발표했습니다. 이 기관은 EDT 기술 회사들에 대한 비공개 조사를 추진하고 있습니다, 라고 F.T.C.의 대변인인 Juliana Gruenwald Henderson이 말했습니다.캘리포니아 어바인에 본사를 둔 Illuminate Education은 학생 추적 소프트웨어의 국내 선도적인 공급업체 중 하나입니다.이 회사의 사이트는 이 서비스가 5,200개 학군의 1,700만 명 이상의 학생들에게 전달된다고 말합니다. 인기 있는 제품에는 출석 기록 시스템과 온라인 성적서뿐만 아니라 eduCLIMBER라는 학교 플랫폼이 포함됩니다. 이를 통해 교육자는 학생들의 “사회적 정서적 행동”과 색상 코드를 녹색(“궤도에 오르지 않음”) 또는 빨간색(“궤도에 오르지 않음”)으로 기록할 수 있습니다.비즈니스 및 경제: 최신 소식 2022년 7월 29일 오후 4시 32분 ETFed의 카슈카리 기자는 당국이 인플레이션 투쟁을 저지하기 위해 ‘먼 길’을 걷고 있다고 말합니다.S&P 500 지수는 2020년 11월 이후 최고의 달을 보냈습니다.한 보고서에 따르면 대유행으로 인해 대규모 집주인들이 세입자들을 상대로 공격적으로 움직였다고 합니다.일루미네이트는 사이버 보안을 강화했습니다. 2016년, 이 회사는 학생 데이터 보호를 위한 “지원”을 보여주겠다는 업계 서약에 서명했다고 발표했습니다.사이버 공격에 대한 우려는 뉴욕 시 학교의 일부 교사들이 온라인 출석과 성적표 시스템이 작동을 멈춘 것을 발견한 후 1월에 나타났습니다. Illuminite는 자사 네트워크의 일부에서 “의심스러운 활동”이 감지된 후 일시적으로 이러한 시스템을 오프라인으로 전환했다고 말했습니다.3월 25일, Illuminate는 특정 회사 데이터베이스가 무단 액세스의 대상이 되었다고 그 지역에 통보했다고 뉴욕시 공립학교의 홍보 비서인 Nathaniel Styer가 말했습니다. 이 사건은 약 700개의 지역 학교에 걸쳐 약 80만 명의 현재 및 이전 학생들에게 영향을 미쳤다고 그는 말했습니다.영향을 받은 뉴욕 시 학생들의 경우, 데이터에는 이름과 성, 학교 이름 및 학생 번호뿐만 아니라 생년월일, 성별, 인종 또는 민족, 모국어 및 교사 이름과 같은 학급 정보 중 적어도 두 가지가 포함되어 있습니다. 어떤 경우에는, 학생들의 장애 상태, 즉 그들이 특수 교육 서비스를 받았는지 여부도 영향을 받았습니다.뉴욕시 관계자들은 격분했다고 말했습니다. 2020년, Illuminate는 학군과 엄격한 데이터 계약을 체결하여 회사가 학생 데이터를 보호하고 데이터 침해 시 학군 관계자에게 즉시 알릴 것을 요구했습니다.시 당국은 뉴욕 검찰총장과 FBI에 요청했습니다.I. 조사하려고요 지난 5월 자체 조사를 벌이고 있는 뉴욕시 교육부가 지역 학교들에게 일루미네이트 제품 사용을 중단하라고 지시했습니다.”우리 학생들은 적절한 보안을 유지하는 데 초점을 맞춘 파트너를 가질 자격이 있지만, 대신 그들의 정보는 위험에 노출되어 있습니다,”라고 에릭 아담스 시장은 뉴욕 타임즈와의 성명에서 말했습니다. 아담스씨는 그의 행정부가 규제당국과 협력하고 있다고 덧붙였습니다. “우리는 학생들에게 약속한 보안을 제공하지 않은 것에 대해 회사에 모든 책임을 지우는 것을 추진하고 있습니다.”자체 조사를 실시하고 있는 뉴욕 주 교육부에 따르면, 일루미네이트 해킹은 주 전역의 22개 학군 174,000명의 학생들에게 영향을 미쳤다고 합니다.지난 4개월 동안 Illuminate는 코네티컷, 캘리포니아, 콜로라도, 오클라호마, 워싱턴 주에 있는 12개 이상의 다른 지역에도 사이버 공격에 대해 통보했습니다.Illuminate는 얼마나 많은 학군과 학생들이 영향을 받았는지 말하기를 거부했습니다. 회사 측은 성명을 통해 외부 전문가와 협력해 보안 사건을 조사한 결과 2021년 12월 28일부터 2022년 1월 8일 사이에 학생 정보가 ‘잠재적으로 무단 열람 대상’이라는 결론을 내렸다고 밝혔습니다. 당시 성명은 “Illuminate에는 보안 업무를 전담하는 5명의 정규직 직원이 있었습니다.Amazon Web Services 온라인 스토리지 시스템에 저장된 학생 데이터를 조명합니다. 사이버 보안 전문가들은 많은 기업들이 실수로 A.W.S 스토리지 버킷을 해커들이 쉽게 찾을 수 있게 만들었다고 말합니다. 즉, 회사 플랫폼이나 제품의 이름을 따서 데이터베이스 이름을 붙임으로써 말입니다.해킹 사건 이후, Illuminate는 최고 정보 보안 책임자를 포함하여 6명의 정규직 보안 및 규정 준수 직원을 추가로 고용했다고 말했습니다.Illuminate가 콜로라도의 한 학군에 보낸 서신에 따르면, 사이버 공격 이후 이 회사는 수많은 보안 업그레이드도 수행했다고 합니다. 서한에는 “Illuminate는 모든 AWS 계정에 대해 지속적인 타사 모니터링을 실시했으며 현재 A.W.S 파일에 대해 향상된 로그인 보안을 적용하고 있습니다.하지만 기자와의 인터뷰 도중, 사이버 보안 위험 관리 회사인 UpGuard의 사이버 연구 담당 부사장인 Greg Pollock은 쉽게 추측할 수 있는 이름의 Illuminate의 A.W.S. 버킷 중 하나를 발견했습니다. 그 후 기자는 학교들을 위한 인기 있는 Illuminate 플랫폼의 이름을 딴 두 번째 A.W.S. 버킷을 발견했습니다.Illuminite는 “보안상의 이유로” 보안 관행에 대한 세부 사항을 제공할 수 없다고 말했습니다.EDIT 회사와 공립 학교에 대한 사이버 공격이 잇따른 후, 교육 관계자들은 학생들을 보호하기 위해 미국이 개입해야 할 때라고 말했습니다.”연방정부 차원의 변화는 이미 늦었고 즉각적이고 전국적인 영향을 미칠 수 있습니다,” 라고 뉴욕시 학교 대변인인 스티어 씨가 말했습니다. 예를 들어, 의회는 연방 교육 프라이버시 규칙을 개정하여 학교 판매업자에게 데이터 보안 요건을 부과할 수 있다고 그는 말했습니다. 이를 통해 연방 기관은 이를 준수하지 않은 기업에 벌금을 부과할 수 있습니다.한 기관이 이미 단속을 했지만 학생들을 대표해서 단속한 것은 아니다.작년, 증권거래위원회는 수백만 명의 학생들의 생년월일과 이메일 주소가 도용된 사이버 공격에 대해 투자자들을 오도한 혐의로 학교를 위한 평가 소프트웨어를 제공하는 주요 공급자인 피어슨을 기소했습니다. 피어슨은 혐의를 해결하기 위해 1백만 달러를 지불하기로 동의했습니다.법무장관 발데라스는 금융 규제 당국이 피어슨 사건의 투자자들을 보호하기 위해 행동한 것에 대해 화가 났다고 말했습니다. 심지어 사생활 보호 규제 당국이 사이버 범죄의 희생자인 학생들을 위해 나서지 않았음에도 말이죠.”제 걱정은 특히 기술 프로토콜이 그다지 강력하지 않다고 생각할 때 공립학교 환경을 악용하는 나쁜 배우들이 있을 것이라는 것입니다.”라고 발데라스 씨가 말했습니다. “그리고 저는 왜 의회가 아직 공포에 떨지 않는지 모르겠습니다.”
The software that many school districts use to track students’ progress can record extremely confidential information on children: “Intellectual disability.” “Emotional Disturbance.” “Homeless.” “Disruptive.” “Defiance.” “Perpetrator.” “Excessive Talking.” “Should attend tutoring.”Now these systems are coming under heightened scrutiny after a recent cyberattack on Illuminate Education, a leading provider of student-tracking software, which affected the personal information of more than a million current and former students across dozens of districts — including in New York City and Los Angeles, the nation’s largest public school systems.Officials said in some districts the data included the names, dates of birth, races or ethnicities and test scores of students. At least one district said the data included more intimate information like student tardiness rates, migrant status, behavior incidents and descriptions of disabilities.The exposure of such private information could have long-term consequences.“If you’re a bad student and had disciplinary problems and that information is now out there, how do you recover from that?” said Joe Green, a cybersecurity professional and parent of a high school student in Erie, Colo., whose son’s high school was affected by the hack. “It’s your future. It’s getting into college, getting a job. It’s everything.”Over the last decade, tech companies and education reformers have pushed schools to adopt software systems that can catalog and categorize students’ classroom outbursts, absenteeism and learning challenges. The intent of such tools is well meaning: to help educators identify and intervene with at-risk students. As these student-tracking systems have spread, however, so have cyberattacks on school software vendors — including a recent hack that affected Chicago Public Schools, the nation’s third-largest district.Now some cybersecurity and privacy experts say that the cyberattack on Illuminate Education amounts to a warning for industry and government regulators. Although it was not the largest hack on an ed tech company, these experts say they are troubled by the nature and scope of the data breach — which, in some cases, involved delicate personal details about students or student data dating back more than a decade. At a moment when some education technology companies have amassed sensitive information on millions of school children, they say, safeguards for student data seem wholly inadequate.“There has really been an epic failure,” said Hector Balderas, the attorney general of New Mexico, whose office has sued tech companies for violating the privacy of children and students.In a recent interview, Mr. Balderas said that Congress had failed to enact modern, meaningful data protections for students while regulators had failed to hold ed tech firms accountable for flouting student data privacy and security.“There absolutely is an enforcement and an accountability gap,” Mr. Balderas said.In a statement, Illuminate said that it had “no evidence that any information was subject to actual or attempted misuse” and that it had “implemented security enhancements to prevent” further cyberattacks.Nearly a decade ago, privacy and security experts began warning that the spread of sophisticated data-mining tools in schools was rapidly outpacing protections for students’ personal information. Lawmakers rushed to respond.Since 2014, California, Colorado and dozens of other states have passed student data privacy and security laws. In 2014, dozens of K-12 ed tech providers signed on to a national Student Privacy Pledge, promising to maintain a “comprehensive security program.”Supporters of the pledge said the Federal Trade Commission, which polices deceptive privacy practices, would be able to hold companies to their commitments. President Obama endorsed the pledge, praising participating companies in a major privacy speech at the F.T.C. in 2015.The F.T.C. has a long history of fining companies for violating children’s privacy on consumer services like YouTube and TikTok. Despite numerous reports of ed tech companies with problematic privacy and security practices, however, the agency has yet to enforce the industry’s student privacy pledge.In May, the F.T.C. announced that regulators intended to crack down on ed tech companies that violate a federal law — the Children’s Online Privacy Protection Act — which requires online services aimed at children under 13 to safeguard their personal data. The agency is pursuing a number of nonpublic investigations into ed tech companies, said Juliana Gruenwald Henderson, an F.T.C. spokeswoman.Based in Irvine, Calif., Illuminate Education is one of the nation’s leading vendors of student-tracking software.The company’s site says its services reach more than 17 million students in 5,200 school districts. Popular products include an attendance-taking system and an online grade book as well as a school platform, called eduCLIMBER, that enables educators to record students’ “social-emotional behavior” and color-code children as green (“on track”) or red (“not on track”).Business & Economy: Latest UpdatesUpdated July 29, 2022, 4:32 p.m. ETFed’s Kashkari says officials are ‘a long way’ from backing off inflation fight.The S&P 500 had its best month since November 2020.Large landlords aggressively moved against renters in the pandemic, a report says.Illuminate has promoted its cybersecurity. In 2016, the company announced that it had signed on to the industry pledge to show its “support for safeguarding” student data.Concerns about a cyberattack emerged in January after some teachers in New York City schools discovered that their online attendance and grade book systems had stopped working. Illuminate said it temporarily took those systems offline after it became aware of “suspicious activity” on part of its network.On March 25, Illuminate notified the district that certain company databases had been subject to unauthorized access, said Nathaniel Styer, the press secretary for New York City Public Schools. The incident, he said, affected about 800,000 current and former students across roughly 700 local schools.For the affected New York City students, data included first and last names, school name and student ID number as well as at least two of the following: birth date, gender, race or ethnicity, home language and class information like teacher name. In some cases, students’ disability status — that is, whether or not they received special education services — was also affected.New York City officials said they were outraged. In 2020, Illuminate signed a strict data agreement with the district requiring the company to safeguard student data and promptly notify district officials in the event of a data breach.City officials have asked the New York attorney general’s office and the F.B.I. to investigate. In May, New York City’s education department, which is conducting its own investigation, instructed local schools to stop using Illuminate products.“Our students deserved a partner that focused on having adequate security, but instead their information was left at risk,” Mayor Eric Adams said in a statement to The New York Times. Mr. Adams added that his administration was working with regulators “as we push to hold the company fully accountable for not providing our students with the security promised.”The Illuminate hack affected an additional 174,000 students in 22 school districts across the state, according to the New York State Education Department, which is conducting its own investigation.Over the last four months, Illuminate has also notified more than a dozen other districts — in Connecticut, California, Colorado, Oklahoma and Washington State — about the cyberattack.Illuminate declined to say how many school districts and students were affected. In a statement, the company said it had worked with outside experts to investigate the security incident and had concluded that student information was “potentially subject to unauthorized access” between Dec. 28, 2021, and Jan. 8, 2022. At that time, the statement said, Illuminate had five full-time employees dedicated to security operations.Illuminate kept student data on the Amazon Web Services online storage system. Cybersecurity experts said many companies had inadvertently made their A.W.S. storage buckets easy for hackers to find — by naming databases after company platforms or products.In the wake of the hack, Illuminate said it had hired six additional full-time security and compliance employees, including a chief information security officer.After the cyberattack, the company also made numerous security upgrades, according to a letter Illuminate sent to a school district in Colorado. Among other changes, the letter said, Illuminate instituted continuous third-party monitoring on all of its AW.S. accounts and is now enforcing improved login security for its A.W.S. files.But during an interview with a reporter, Greg Pollock, the vice president for cyber research at UpGuard, a cybersecurity risk management firm, found one of Illuminate’s A.W.S. buckets with an easily guessable name. The reporter then found a second A.W.S. bucket named after a popular Illuminate platform for schools.Illuminate said it could not provide details about its security practice “for security reasons.”After a spate of cyberattacks on both ed tech companies and public schools, education officials said it was time for Washington to intervene to protect students.“Changes at the federal level are overdue and could have an immediate and nationwide impact,” said Mr. Styer, the New York City schools spokesman. Congress, for instance, could amend federal education privacy rules to impose data security requirements on school vendors, he said. That would enable federal agencies to levy fines on companies that failed to comply.One agency has already cracked down — but not on behalf of students.Last year, the Securities and Exchange Commission charged Pearson, a major provider of assessment software for schools, with misleading investors about a cyberattack in which the birth dates and email addresses of millions of students were stolen. Pearson agreed to pay $1 million to settle the charges.Mr. Balderas, the attorney general, said he was infuriated that financial regulators had acted to protect investors in the Pearson case — even as privacy regulators failed to step up for schoolchildren who were victims of cybercrime.“My concern is there will be bad actors who will exploit a public school setting, especially when they think that the technology protocols are not very robust,” Mr. Balderas said. “And I don’t know why Congress isn’t terrified yet.”