Veri Gizliliği, Veri Güvenliği, Sağlık
AG’ler, Eğitimde 2021 Sonu Veri Hırsızlığının Aydınlatılmasına Yol Açan Güvenlik Arızalarından Bahsediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Kasım 2025
Engelli çocukların ve özel eğitim ihtiyaçları olan çocukların kayıtları da dahil olmak üzere öğrenci verilerini toplamak ve analiz etmek için kullanılan Kaliforniya merkezli bir yazılım satıcısı, 2021’de 3 milyon kişiyi etkileyen bir hack sonrasında üç eyalette başsavcılar tarafından toplam 5,1 milyon dolar para cezasına çarptırıldı.
Ayrıca bakınız: Canlı Web Semineri I Uyumluluktan Siber Dirençliliğe – Güvenliğin Ön Planda Olduğu Bir Çağda DPDP Yasasını Yorumlamak
Eyaletlerin her biriyle yapılan ayrı anlaşmalar uyarınca, Illuminate Education, 3 milyon öğrencinin etkilendiği Kaliforniya’ya 3,25 milyon dolar para cezası ödemeyi kabul etti; 1,7 milyon öğrencinin etkilendiği New York’a 1,7 milyon dolar; ve 28.610 öğrencinin etkilendiği Connecticut’a 150.000 dolar.
California Başsavcısı Rob Bonta, ele geçirilen verilerin arasında öğrencinin adı, ırkı, öğrencinin özel eğitim hizmetleri veya makul konaklama olanakları ve kodlanmış tıbbi koşullar alıp almadığı gibi kişisel ve tıbbi bilgilerin yer aldığını söyledi.
Illuminate, eyaletlerin her birine mali cezalar ödemenin yanı sıra, belirli koruma ve kontrollerden oluşan uzun bir liste içeren bir bilgi güvenliği programını uygulamayı, sürdürmeyi, düzenli olarak gözden geçirmeyi ve revize etmeyi kabul etti.
Buna nitelikli bir CISO atanması da dahildir; sıfır güven mimarisinin uygulanması, uzaktan çok faktörlü kimlik doğrulama, şifreleme, yedek veritabanı korumaları ve veri sızmasının önlenmesi; bağımsız bir üçüncü tarafça yıllık siber güvenlik risk değerlendirmesinin yapılması; penetrasyon testinin yapılması; ve şirketin üçüncü taraflarının değerlendirmelerinin yapılması.
İhlal Ayrıntıları
Anlaşmadaki başsavcılar, Illuminate’in veri hırsızlığı olayına katkıda bulunan bir dizi iddia edilen güvenlik arızasını ve yanlış adımı belgeliyor.
New York yerleşim belgelerine göre, okul bölgelerinin şirketin ürünlerinde kullanılmak üzere Iluminate’e sağladığı öğrenci verileri Amazon Web Services veritabanlarında saklanıyor.
Aralık 2021’in sonlarında ve Ocak 2022’nin başlarında Illuminate’in AWS hesaplarından biri bir siber saldırıya hedef oldu.
Anlaşma belgelerinde, “27 Aralık ve 28 Aralık olmak üzere iki gün boyunca, saldırganlar beş takım çalıntı erişim anahtarı kullanarak Illuminate’in AWS ortamına erişimi araştırdı. 28 Aralık’ta saldırganlar, şirketten yıllar önce ayrılan bir çalışanla ilişkili olan beşinci erişim anahtarının, Illuminate’in IO Suite ürünlerini çalıştırmak için kullanılan sistemleri barındıran AWS ortamı bölümüne erişim elde etmelerini sağlayacak yeterli ayrıcalıklara sahip olduğunu buldu.”
Anlaşma belgelerine göre, 28 Aralık 2021 ile 8 Ocak 2022 arasında saldırganlar öğrenci bilgilerini içeren yüzlerce Iluminate veritabanı yedeğini sızdırdı.
Öğrenci bilgileri arasında öğrenci isimleri, doğum tarihleri, öğrenci kimlik numaraları, demografik bilgiler, sosyoekonomik bilgiler, özel eğitim bilgileri, engellilik bilgileri, disiplin bilgileri, İngilizce Dil Öğrenme bilgileri, sınıf seviyeleri, okul bağlantıları, dersler ve değerlendirme puanları yer alıyordu.
Veriler kullanımda değilken şifrelenmedi.
Anlaşma belgelerine göre, olay sırasında Illuminate’in AWS ortamındaki kötü amaçlı etkinlikleri izleyecek bir sistemi veya süreçleri de yoktu.
Anlaşma belgelerinde “Ancak, 5 Ocak 2022’de veya buna yakın bir tarihte Illuminate, Amazon tehdit tespit aracı GuardDuty’yi tüm AWS hesaplarında etkinleştirdi. Siber saldırıyı keşfedip araştırdıktan sonra Illuminate, GuardDuty’nin daha önce IO hesabında sınırlı olarak etkinleştirildiğini tespit etti.”
“Illuminate personeli ayrıca GuardDuty’nin IO hesabıyla ilgili, tümü 27 Aralık 2021 ile 2 Ocak 2022 arasında 44 anormal olay tespit ettiğini ve bunların hepsinin saldırganların Illuminate sistemlerine yetkisiz erişimiyle ilişkili olduğu anlaşıldığını buldu. Araç, 44 olaydan 42’sine ‘orta’ önem düzeyi atadı ve Amazon şunu belirtiyor: “‘normalde gözlemlenen davranışlardan sapan şüpheli faaliyetleri gösterir” ve kullanım durumunuza bağlı olarak kaynak güvenliğinin ihlal edildiğinin göstergesi olabilir.'”
Anlaşma belgelerinde, “Ancak Illuminate, aracın bulgularını incelemedi ve dolayısıyla saldırganların Illuminate’in sistemlerine erişim elde ettiğinin farkına varmadı” denildi.
8 Ocak 2022’de saldırganlar belirli Illuminate AWS kaynaklarını silmeye başladı. “Birkaç saat içinde Illuminate personeli yetkisiz etkinliği tespit etti, saldırganların IO hesabına erişmek için kullandığı ele geçirilmiş kimlik bilgilerini tespit etti ve saldırganların erişimini devre dışı bıraktı.”
Illuminate, bilgisayar korsanlarının IO hesabına erişim elde ettiğini ve şirketin iyileştirici eylemlerinin saldırganların erişimini kestiğini doğrulayan bir adli soruşturma yürütmek üzere bir siber güvenlik firmasıyla anlaştı. Anlaşma belgelerinde “Illuminate ayrıca saldırganlardan sızdırılan verilerin imha edilmesi konusunda pazarlık yapmak için siber güvenlik firmasıyla da çalıştı” denildi.
Devlet Eylemleri
Illuminate saldırısından sorumlu hacker grubunun kimliği anlaşma belgelerinde belirtilmedi.
Bonta yaptığı açıklamada, “Araştırmamız, çocuklarla ilgili verileri korumakla görevli bir şirket için asla yaşanmaması gereken rahatsız edici güvenlik eksikliklerini ortaya çıkardı” dedi.
Benzer şekilde New York Başsavcısı Letitia James de olayın Illuminate’in güven ihlali olduğunu söyledi. “Öğrenciler, veliler ve öğretmenler, okullarının çevrimiçi platformlarının güvenli ve emniyetli olduğuna güvenebilmelidir. Illuminate bu güveni ihlal etti ve öğrencilerin verilerini korumak için temel adımları atmadı.”
Connecticut Başsavcısı William Tang, yaptığı açıklamada Connecticut’ın Illuminate’e karşı davasının, eyaletin 2016 yılında yürürlüğe giren ve 2017 ve 2018 yıllarında değiştirilen Öğrenci Verileri Gizliliği Yasası kapsamında varılan ilk çözüm olduğunu söyledi.
Diğer hükümlerin yanı sıra Connecticut yasası, çevrimiçi eğitim sağlayıcılarının “endüstri standartlarını karşılayan veya aşan” ve öğrenci verilerini yetkisiz erişime veya ifşaya karşı korumak için tasarlanmış veri güvenliği önlemlerini sürdürmesini gerektirir.
Bilgisayar korsanlığı olayının ardından Illuminate, 2023 yılında K-12 öncesi eğitim teknolojisi sağlayıcısı Renaissance Learning tarafından satın alındı.
Illuminate, Information Security Media Group’a yaptığı açıklamada, “Satın alma işleminden bu yana Renaissance, Illuminate ürünlerini okullar, eğitimciler ve aileler tarafından bize emanet edilen verilerin bütünlüğünü ve gizliliğini korumak için kullanılan güçlü güvenlik protokolleri ve kontrollerini içeren siber güvenlik ve veri koruma programına dahil etti.” dedi.
Illuminate web sitesinde, yazılımının 50 eyaletteki 5.200 okul ve bölgedeki 17 milyon öğrencinin verilerini işlediği belirtiliyor.
Üç eyalet başsavcısının icra işlemlerine ek olarak Illuminate, aynı ihlali içeren birleştirilmiş, önerilen toplu hukuk davasıyla da karşı karşıya kaldı. Ancak Kaliforniya federal mahkemesi 2023’te davayı geçerlilik eksikliği nedeniyle reddetti ve Eylül ayında dokuzuncu bölgedeki ABD Temyiz Mahkemesi alt mahkemenin kararını onadı.