Ataque cibernético revela o estado instável da privacidade dos alunos

Em um momento em que as empresas de tecnologia educacional estão armazenando informações confidenciais sobre milhões de crianças em idade escolar, as proteções para os dados dos alunos foram interrompidas.

Por Natasha Cantora do New York Times

O software que muitos distritos escolares usam para avaliar o progresso e o desempenho dos alunos pode registrar informações extremamente confidenciais sobre as crianças, tais como: “Deficiência intelectual”. "Distúrbio emocional.” "Sem teto.” “Disruptivo”. “Desafio.” “Autor.”  “Conversa Excessiva”. “Deve frequentar a tutoria.”

Agora, esses sistemas estão sob maior escrutínio após um recente ataque cibernético à Illuminate Education, fornecedora líder de software de rastreamento de alunos, que afetou as informações pessoais de mais de um milhão de alunos atuais e ex-alunos em dezenas de distritos — inclusive na cidade de Nova York e Los Angeles, os maiores sistemas de escolas públicas do país.

Autoridades disseram que em alguns distritos os dados incluem nomes, datas de nascimento, raças ou etnias e resultados de testes de alunos. Pelo menos um distrito disse que os dados incluem informações mais íntimas, como taxas de atraso dos alunos, status de imigrante, incidentes de comportamento e descrições de deficiências.

A exposição de tais informações privadas pode ter consequências a longo prazo.

“Se você é um mau aluno e teve problemas disciplinares e essa informação está agora disponível, como você se recupera disso?” disse Joe Green, profissional de segurança cibernética e pai de um estudante do ensino médio em Erie, Colorado, cujo filho foi afetado pelo hack. “É o seu futuro. É entrar na faculdade, conseguir um emprego. É tudo."

Ao longo da última década, empresas de tecnologia e os reformadores da educação pressionaram as escolas a adotar sistemas de software que podem catalogar e categorizar as explosões de sala de aula, o absenteísmo e os desafios de aprendizado dos alunos. A intenção de tais ferramentas é bem intencionada: ajudar os educadores a identificar e intervir com alunos em risco. À medida que esses sistemas de rastreamento de alunos se espalharam, o mesmo aconteceu com os ataques cibernéticos a fornecedores de software escolar – incluindo um hack recente que afetou as Escolas Públicas de Chicago, o terceiro maior distrito do país.

Agora, alguns especialistas em segurança cibernética e privacidade dizem que o ataque cibernético à Illuminate Education equivale a um aviso para os reguladores da indústria e do governo. Embora não tenha sido o maior hack em uma empresa de tecnologia educacional, esses especialistas dizem que estão preocupados com a natureza e o escopo da violação de dados — que, em alguns casos, envolveu detalhes pessoais delicados sobre alunos ou dados de alunos com mais de uma década. Em um momento em que algumas empresas de tecnologia educacional acumularam informações confidenciais sobre milhões de crianças em idade escolar, eles dizem que as proteções para os dados dos alunos parecem totalmente inadequadas.

Houve realmente um fracasso épico”, disse Hector Balderas, procurador-geral do Novo México, cujo escritório processou empresas de tecnologia por violar a privacidade de crianças e estudantes.

Em uma entrevista recente, Balderas disse que o Congresso não conseguiu aprovar proteções de dados modernas e significativas para os alunos, enquanto os reguladores não responsabilizaram as empresas de tecnologia educacional por desrespeitar a privacidade e a segurança dos dados dos alunos.

“Existe absolutamente uma lacuna de fiscalização e responsabilidade”, disse Balderas.

Em um comunicado, a Illuminate disse que não tinha “nenhuma evidência de que qualquer informação estivesse sujeita a uso indevido real ou tentado” e que havia “implementado aprimoramentos de segurança para evitar” novos ataques cibernéticos.

Há quase uma década, especialistas em privacidade e segurança começaram a alertar que a disseminação de ferramentas sofisticadas de mineração de dados nas escolas estava ultrapassando rapidamente as proteções das informações pessoais dos alunos. Os legisladores correram para responder.

Desde 2014, Califórnia, Colorado e dezenas de outros estados aprovaram leis de privacidade e segurança de dados de alunos. Em 2014, dezenas de fornecedores de tecnologia K-12 ed assinaram um compromisso nacional de privacidade do aluno, prometendo manter um “programa de segurança abrangente”.

Os defensores da promessa disseram que a Federal Trade Commission, que policia práticas enganosas de privacidade, seria capaz de manter as empresas em seus compromissos. O presidente Obama endossou a promessa, elogiando as empresas participantes em um importante discurso sobre privacidade na FTC em 2015.

A FTC tem um longo histórico de multar empresas por violar a privacidade de crianças em serviços ao consumidor como YouTube e TikTok. Apesar de inúmeros relatos de empresas de tecnologia educacional com práticas problemáticas de privacidade e segurança, a agência ainda não cumpriu a promessa de privacidade dos estudantes do setor.

Em maio, a FTC anunciou que os reguladores pretendiam reprimir as empresas de tecnologia educacional que violam uma lei federal — a Lei de Proteção à Privacidade Online das Crianças — que exige que serviços online voltados para crianças menores de 13 anos protejam seus dados pessoais. A agência está realizando uma série de investigações não públicas sobre empresas de tecnologia educacional, disse Juliana Gruenwald Henderson, porta-voz da FTC.

Com sede em Irvine, Califórnia, a Illuminate Education é um dos principais fornecedores de software de acompanhamento de alunos do país.

O site da empresa diz que seus serviços alcançam mais de 17 milhões de alunos em 5.200 distritos escolares. Os produtos populares incluem um sistema de registro de presença e um livro de notas online, bem como uma plataforma escolar, chamada eduCLIMBER, que permite aos educadores registarem o “comportamento socioemocional” dos alunos e codificar as crianças como verde (“no caminho”) ou vermelho (“não está no caminho certo”).

A Illuminate promoveu sua segurança cibernética. Em 2016, a empresa anunciou que havia assinado o compromisso do setor de mostrar seu “apoio à proteção” dos dados dos alunos.

Preocupações com um ataque cibernético surgiram em janeiro depois que alguns professores de escolas de Nova York descobriram que seus sistemas de atendimento online e livros de notas haviam parado de funcionar. A Illuminate disse que desligou temporariamente esses sistemas depois de tomar conhecimento de “atividades suspeitas” em parte de sua rede.

Em 25 de março, a Illuminate notificou o distrito de que certos bancos de dados da empresa estavam sujeitos a acesso não autorizado, disse Nathaniel Styer, secretário de imprensa das Escolas Públicas de Nova York. O incidente, disse ele, afetou cerca de 800 mil alunos atuais e ex-alunos em cerca de 700 escolas locais.

Para os alunos afetados da cidade de Nova York, os dados incluíam nome e sobrenome, nome da escola e número de identificação do aluno, bem como pelo menos dois dos seguintes: data de nascimento, sexo, raça ou etnia, idioma de origem e informações da turma, como nome do professor. Em alguns casos, o status de deficiência dos alunosa — isto é, se eles receberam ou não serviços de educação especial — também foi afetado.

Autoridades de Nova York disseram estar indignadas. Em 2020, a Illuminate assinou um contrato de dados rigoroso com o distrito exigindo que a empresa protegesse os dados dos alunos e notificasse prontamente os funcionários do distrito em caso de violação de dados.

Autoridades da cidade pediram ao escritório do procurador-geral de Nova York e ao FBI para investigar. Em maio, o departamento de educação da cidade de Nova York, que está conduzindo sua própria investigação, instruiu as escolas locais a pararem de usar os produtos Illuminate.

“Nossos alunos mereciam um parceiro focado em ter segurança adequada, mas suas informações foram deixadas em risco”, disse o prefeito Eric Adams em comunicado ao The New York Times. Adams acrescentou que seu governo está trabalhando com reguladores “enquanto pressionamos para responsabilizar a empresa por não fornecer aos nossos alunos a segurança prometida”.

O hack do Illuminate afetou mais 174 mil alunos em 22 distritos escolares em todo o estado, de acordo com o Departamento de Educação do Estado de Nova York, que está conduzindo sua própria investigação.

Nos últimos quatro meses, a Illuminate também notificou mais de uma dúzia de outros distritos — em Connecticut, Califórnia, Colorado, Oklahoma e Washington State — sobre o ataque cibernético.

A Illuminate se recusou a dizer quantos distritos escolares e alunos foram afetados. Em um comunicado, a empresa disse que trabalhou com especialistas externos para investigar o incidente de segurança e concluiu que as informações dos alunos estavam “potencialmente sujeitas a acesso não autorizado” entre 28 de dezembro de 2021 e 8 de janeiro de 2022. Naquela época, a declaração dizia que a Illuminate tinha cinco funcionários em tempo integral dedicados às operações de segurança.

A Illuminate manteve os dados dos alunos no sistema de armazenamento online da Amazon Web Services. Especialistas em segurança cibernética disseram que muitas empresas inadvertidamente tornaram seus buckets de armazenamento da AWS fáceis de serem encontrados por hackers, nomeando bancos de dados com nomes de plataformas ou produtos da empresa.

Após o hack, a Illuminate disse que contratou seis funcionários adicionais de segurança e conformidade em tempo integral, incluindo um diretor de segurança da informação.

Após o ataque cibernético, a empresa também fez várias atualizações de segurança, de acordo com uma carta que a Illuminate enviou a um distrito escolar no Colorado. Entre outras mudanças, dizia a carta, a Illuminate instituiu monitoramento contínuo de terceiros em todos os seus AW.S. e agora está aplicando segurança de login aprimorada para seus arquivos da AWS.

Mas durante uma entrevista com um repórter, Greg Pollock, vice-presidente de pesquisa cibernética da UpGuard, uma empresa de gerenciamento de riscos de segurança cibernética, encontrou um dos buckets AWS da Illuminate com um nome fácil de adivinhar. O repórter então encontrou um segundo bucket da AWS com o nome de uma popular plataforma Illuminate para escolas.

A Illuminate disse que não poderia fornecer detalhes sobre sua prática de segurança “por razões de segurança”.

Após uma série de ataques cibernéticos em empresas de tecnologia educacional e escolas públicas, autoridades educacionais disseram que era hora de Washington intervir para proteger os alunos.

"As mudanças no nível federal estão atrasadas e podem ter um impacto imediato e nacional", disse Styer, porta-voz das escolas da cidade de Nova York. O Congresso, por exemplo, poderia alterar as regras federais de privacidade da educação para impor requisitos de segurança de dados aos fornecedores escolares, disse ele. Isso permitiria que os órgãos federais aplicassem multas às empresas que não cumprissem.

Uma agência já reprimiu — mas não em nome dos estudantes.

No ano passado, a Securities and Exchange Commission acusou a Pearson, uma importante fornecedora de software de avaliação para escolas, de enganar os investidores sobre um ataque cibernético no qual as datas de nascimento e os endereços de e-mail de milhões de estudantes foram roubados. Pearson concordou em pagar US$ 1 milhão para liquidar as acusações.

Balderas, o procurador-geral, disse estar furioso com o fato de os reguladores financeiros terem agido para proteger os investidores no caso Pearson — mesmo que os reguladores de privacidade não tenham dado um passo para as crianças em idade escolar que foram vítimas de crimes cibernéticos.

“Minha preocupação é que haverá maus atores que explorarão um ambiente de escola pública, especialmente quando acharem que os protocolos de tecnologia não são muito robustos”, disse Balderas. “E não sei por que o Congresso ainda não está aterrorizado.”

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton