Die persönlichen Daten von mehr als einer halben Million Schülern und Mitarbeitern der Chicago Public Schools wurden im vergangenen Dezember bei einem Ransomware-Angriff kompromittiert, aber der Anbieter hat dies dem Bezirk erst im letzten Monat gemeldet, sagten Beamte.
Die Datenschutzverletzung ereignete sich am 1. Dezember und der Technologieanbieter Battelle for Kids benachrichtigte CPS April am 26. April, teilte der Bezirk am Freitag mit. Ein Server, der zum Speichern von Studenten- und Mitarbeiterinformationen verwendet wurde, wurde verletzt und es wurde auf Aufzeichnungen im Wert von vier Jahren zugegriffen, sagte CPS.
Insgesamt wurde in den Schuljahren 2015-16 bis 2018-2019 auf 495.448 Schüler- und 56.138 Mitarbeiterdatensätze zugegriffen, so CPS. Die Daten umfassten die Namen der Schüler, Schulen, Geburtsdaten, Geschlecht, CPS-Identifikationsnummern, staatliche Schüler-Identifikationsnummern, Unterrichtsstundenplaninformationen und Ergebnisse bei kursspezifischen Bewertungen, die für Lehrerbewertungen verwendet wurden.
Zu den Mitarbeiterdaten, auf die in diesen Jahren zugegriffen wurde, gehörten Namen, Mitarbeiteridentifikationsnummern, Schul- und Kursinformationen sowie E-Mails und Benutzernamen.
CPS sagte, der verletzte Server habe keine anderen Aufzeichnungen gespeichert.
„Bei diesem Vorfall wurden keine Sozialversicherungsnummern, keine Finanzinformationen, keine Gesundheitsdaten, keine aktuellen Kurs- oder Zeitplaninformationen, keine Privatadressen und keine Kursnoten, standardisierte Testergebnisse oder Lehrerbewertungsergebnisse offengelegt“, sagte der Bezirk in a Erklärung.
CPS sagte, es gebe keine Beweise dafür, dass die Daten missbraucht, veröffentlicht oder verbreitet wurden, bot den betroffenen Familien jedoch ein Jahr Kreditüberwachung und Schutz vor Identitätsdiebstahl an.
CPS-Vertreter sagten, der Bezirk sei gewesen Information betroffener Familien und Mitarbeiter und würde auch diejenigen benachrichtigen, auf deren Aufzeichnungen nicht zugegriffen wurde, „um ihnen Sicherheit zu geben“.
Das FBI und das Department of Homeland Security untersuchten beide den Verstoß und der Anbieter „überwacht und wird das Internet weiterhin überwachen, falls die Daten veröffentlicht oder verbreitet werden“, sagte CPS.
Battelle for Kids wurde eingestellt, um den Distriktleitern bei der Durchführung des REACH-Lehrerbewertungsprogramms von CPS zu helfen. Diese Bewertungen berücksichtigen die jährliche Steigerung der akademischen Leistungen der Studierenden.
CPS sagte, es sei von Battelle for Kids per Post am 26. April über den Verstoß informiert worden, aber es habe „keine spezifischen Informationen darüber, welche Schüler betroffen waren, und CPS wusste auch nicht, dass Personalinformationen bis zum 11. Mai kompromittiert wurden“.
CPS sagte, dass es, weil sein Vertrag mit dem Anbieter vorsieht, dass es den Distrikt unverzüglich über jede Datenschutzverletzung informieren sollte, „die verspätete Benachrichtigung und andere Probleme im Umgang mit Daten mit Battelle for Kids angeht“.
Das teilte Battelle for Kids am Freitag in einer Erklärung mit Chicago Sun-Times dass das Unternehmen „unverzüglich eine nationale Cybersicherheitsfirma beauftragt hat, das Ausmaß des Vorfalls zu bewerten, und Maßnahmen ergriffen hat, um die potenziellen Auswirkungen zu mindern“.
Das Unternehmen sagte, es habe seitdem strengere Sicherheitsprotokolle eingeführt, antwortete jedoch nicht, warum es CPS nicht über die Verletzung informiert habe, während die Bewertung im Gange war.
CPS hat seit 2012 eine Beziehung mit Battelle for Kids, berichtete die Chicago Sun-Times. Der jüngste Vertrag wurde im Januar – einen Monat nach dem Verstoß – unterzeichnet und soll für ein Jahr bis zum 31. Januar 2023 bei etwa 90.000 US-Dollar liegen.
Zwischen 2012 und 2020 zahlte das Board of Education 1,4 Millionen US-Dollar an das in Ohio ansässige Unternehmen, berichtete die Sun-Times unter Berufung auf eine Online-Datenbank mit Zahlungen von CPS-Anbietern.
© 2022 The Associated Press. Alle Rechte vorbehalten. Dieses Material darf ohne Genehmigung nicht veröffentlicht, gesendet, umgeschrieben oder weiterverbreitet werden.