Afgelopen vrijdag bereikte de Federal Trade Commission (FTC), de consumentenwaakhond van de Amerikaanse federale overheid, een overeenkomst met Illuminate Education. Dit bedrijf, dat educatieve software aanbiedt, was in 2021 verantwoordelijk voor een enorm datalek. De gegevens van ruim tien miljoen leerlingen lagen op straat. En hoe dat kon gebeuren was bijzonder pijnlijk.
Uit het eindverslag van het FTC blijkt dat Illuminate Education op allerlei manieren tekort schoot. Zo bleek het bedrijf onder andere geen encryptie te gebruiken op de gegevens van leerlingen, geen multi-factor of andere beveiligde vorm van inloggen gebruikte, en geen systeem had om interne netwerkactiviteit te monitoren. En dat is kwalijk, zeker gezien het overgrote deel van de door Illuminate beheerde gegevens van minderjaren was. Maar het meest pijnlijk was het feit dat de aanval kon worden uitgevoerd met een wachtwoord van een medewerker die op dat moment al jaren niet meer bij Illuminate werkte.
Oude gegevens
Het ging om het wachtwoord van een in 2018 vertrokken medewerker die beheerdersrechten had. Door dit account te gebruiken konden aanvallers nieuwe accounts aanmaken met vergelijkbare privileges op het netwerk. Deze accounts konden vrij door gegevens bladeren en deze ook downloaden. Op deze manier werden de persoonlijke gegevens van 10,1 miljoen leerlingen die software van Illuminate gebruikten door de aanvallers buitgemaakt. Hoe dit wachtwoord in handen van de daders kwam is niet bekend.
Maar niet alleen de gegevens van de medewerker werden na vertrek onnodig bewaard. De reden dat de gegevens van zo veel leerlingen konden worden buitgemaakt, is dat Illuminate data van leerlingen die klaar waren met hun software en hun opleiding hadden afgerond niet verwijderde. Hierdoor kregen de daders ook gegevens van personen die al jaren geen Illuminate software meer gebruikten.
Genegeerd
Maar de problemen bij Illuminate eindigden niet met het niet verwijderen van gegevens. Uit onderzoek van het FTC blijkt dat het bedrijf jarenlang de beveiliging van het netwerk niet op orde had. Bovendien huurde Illuminate wel een extern bedrijf in om de eigen netwerkveiligheid in kaart te brengen, maar werden deze rapportages, zowel uit 2020 als 2021, stelselmatig genegeerd. Ook waarschuwingen van eigen beveiligingsmedewerkers over gaten in de beveiliging verdwenen stelselmatig in de la.
En dat negeren van waarschuwingen, zowel intern als extern, leidde uiteindelijk tot dit datalek. Op 27 december 2021, ruim drie jaar nadat de medewerker wiens wachtwoord werd misbruikt om gegevens te stelen en na meerdere rapportages over de beveiligingsproblemen, kregen criminelen toegang tot het netwerk. Mede door de feestdagen en de jaarwisseling werd pas anderhalve week later, op 8 januari 2022, het datalek opgemerkt. Op dat moment waren gegevens van miljoenen personen, vele van hen minderjarig, al buitgemaakt.
Waarschuwen
Ook het waarschuwen van de slachtoffers liep bijzonder traag, mede door de gebrekkige cyberveiligheidsmaatregelen van Illuminate. Doordat er geen logboeken werden bijgehouden van netwerkactiviteit of accounttoegang kon niet direct zichtbaar worden welke gegevens door de criminelen benaderd waren. Dit gold zowel voor de interne systemen van Illuminate als voor externe clouddiensten die het bedrijf gebruikte, waaronder Amazon Web Services (AWS).
Dit leidde tot chaos. Hoewel het eigen beleid van Illuminate stelt dat ouders en leerlingen binnen 72 uur op de hoogte moeten worden gesteld van een datalek, werden in sommige gevallen slachtoffers pas in oktober 2023, bijna twee jaar later, gewaarschuwd. Extra pijnlijk was ook dat toen nog eens 387,000 extra slachtoffers in beeld kwamen.
Lessen
Wanneer een medewerker vertrekt, is het normaal dat toegangspasjes, sleutels en dergelijke worden ingeleverd. Maar uit de casus van Illuminate Education blijkt dat ook het verwijderen van inloggegevens en het sluiten van werknemersaccounts zeer belangrijk is. Het feit dat Illuminate dit niet deed, droeg rechtstreeks bij aan de schade die gebruikers van Illuminate software geleden hadden. Maar uit het verslag van FTC blijkt dat de problemen bij de beveiliging van gegevens bij het bedrijf veel dieper gingen.
Illuminate bleek op negen punten tekort te schieten. Zo werden onder andere gegevens van leerlingen onnodig lang bewaard, en werd geen encryptie op deze gegevens toegepast. Er werd geen enkele vorm van netwerkmonitoring of antivirussoftware gebruikt. Ook implementeerde het bedrijf pas enkele maanden na het grote datalek een incidentresponsplan. Interne en externe waarschuwingen en rapportages over de veiligheid verdwenen in de la. Het lijkt alsof het bedrijf op vrijwel elke mogelijk punt de verkeerde keuzes maakte.
Wie lessen wil trekken uit de Illuminate-casus, zal vooral moeten kijken naar alles wat het bedrijf niet heeft gedaan. Het niet verwijderen van de inloggegevens van de voormalig werknemer is het puntje van de ijsberg. Het bedrijf stapelde fout op fout, waardoor de gegevens van meer dan tien miljoen personen op straat eindigden.