Les informations personnelles de plus d’un demi-million d’élèves et de membres du personnel des écoles publiques de Chicago ont été compromises lors d’une attaque de ransomware en décembre dernier, mais le fournisseur ne l’a signalé au district que le mois dernier, ont déclaré des responsables.
La violation de données s’est produite le 1er décembre et le fournisseur de technologie Battelle for Kids a notifié le CPS le 26 avril, a annoncé vendredi le district. Un serveur utilisé pour stocker les informations sur les étudiants et le personnel a été piraté et quatre ans de dossiers ont été consultés, a déclaré le CPS.
Au total, 495 448 dossiers d’étudiants et 56 138 dossiers d’employés ont été consultés de 2015-2016 à 2018-2019, a indiqué le CPS. Les données comprenaient les noms des élèves, les écoles, les dates de naissance, le sexe, les numéros d’identification CPS, les numéros d’identification des élèves de l’État, les informations sur le calendrier des cours et les scores aux évaluations spécifiques aux cours utilisées pour les évaluations des enseignants.
Les données des employés consultées pour ces années comprenaient les noms, les numéros d’identification des employés, les informations sur l’école et les cours, les e-mails et les noms d’utilisateur.
CPS a déclaré que le serveur piraté ne stockait aucun autre enregistrement.
« Il n’y avait aucun numéro de sécurité sociale, aucune information financière, aucune donnée sur la santé, aucune information sur les cours ou les horaires actuels, aucune adresse personnelle et aucune note de cours, résultats de tests standardisés ou résultats d’évaluation des enseignants exposés dans cet incident », a déclaré le district dans un déclaration.
CPS a déclaré qu’il n’y avait aucune preuve que les données aient été utilisées, publiées ou distribuées à mauvais escient, mais a offert aux familles concernées un an de surveillance du crédit et de protection contre le vol d’identité.
Les représentants du CPS ont déclaré que le district a été informer les familles et le personnel concernés et informerait également ceux dont les dossiers n’ont pas été consultés « pour leur assurer la tranquillité d’esprit ».
Le FBI et le Département de la sécurité intérieure ont tous deux enquêté sur la violation et le fournisseur « surveille et continuera de surveiller Internet au cas où les données seraient publiées ou distribuées », a déclaré CPS.
Battelle for Kids a été embauché pour aider les dirigeants de district à mener le programme d’évaluation des enseignants REACH de CPS. Ces évaluations tiennent compte de la croissance du rendement scolaire des étudiants chaque année.
Le CPS a déclaré avoir été informé de la violation par Battelle for Kids via une lettre envoyée par la poste le 26 avril, mais il « n’avait pas d’informations spécifiques sur les élèves touchés, et le CPS ne savait pas non plus que les informations du personnel avaient également été compromises jusqu’au 11 mai. «
CPS a déclaré que parce que son contrat avec le fournisseur stipule qu’il doit immédiatement informer le district de toute violation de données, il « traite la notification tardive et d’autres problèmes dans le traitement des données avec Battelle for Kids ».
Battelle for Kids a déclaré vendredi dans un communiqué au Chicago Sun-Times que l’entreprise « a immédiatement engagé une entreprise nationale de cybersécurité pour évaluer l’ampleur de l’incident et a pris des mesures pour atténuer l’impact potentiel ».
La société a déclaré qu’elle avait depuis mis en place des protocoles de sécurité plus solides, mais n’a pas expliqué pourquoi elle n’avait pas informé CPS de la violation pendant que l’évaluation était en cours.
CPS entretient une relation avec Battelle for Kids depuis 2012, a rapporté le Chicago Sun-Times. Le contrat le plus récent a été signé en janvier, un mois après la rupture, et devrait atteindre environ 90 000 dollars pour une année se terminant le 31 janvier 2023.
Entre 2012 et 2020, le Board of Education a versé 1,4 million de dollars à la société basée dans l’Ohio, a rapporté le Sun-Times, citant une base de données en ligne des paiements des fournisseurs CPS.
© 2022 L’Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.