En décembre, les informations personnelles de plus d’un demi-million d’élèves et de membres du personnel des écoles publiques de Chicago ont été compromises lors d’une attaque de ransomware, ont déclaré des responsables, mais le fournisseur n’a signalé l’incident que le mois dernier.
Le district a déclaré vendredi que la violation de données s’était produite le 1er décembre et le fournisseur de technologie Battelle for Kids a informé CPS le 26 avril. Un serveur utilisé pour stocker les informations sur les étudiants et le personnel a été piraté et quatre années de dossiers ont été consultées, a déclaré le CPS.
Un total de 495 448 dossiers d’étudiants et 56 138 dossiers d’employés ont été consultés de 2015-2016 à 2018-2019, a indiqué le CPS. Les données comprennent le nom de l’élève, l’école, la date de naissance, le sexe, le numéro d’identification CPS, le numéro d’identification de l’élève, les informations sur l’horaire des cours et les données d’évaluation spécifiques au cours pour les évaluations des enseignants.
Les données des employés consultées au fil des ans comprennent le nom, le numéro d’identification de l’employé, les informations sur l’école et le programme, l’adresse e-mail et le nom d’utilisateur.
CPS a déclaré que les serveurs piratés ne stockaient aucun autre enregistrement.
« Pas de numéros de sécurité sociale, pas d’informations financières, pas de données sur la santé, pas d’informations sur les cours ou les horaires actuels, pas d’adresse personnelle et pas de notes de cours. Les résultats des tests standardisés ou les résultats des évaluations des enseignants exposés dans cet incident », indique le communiqué. Le district scolaire a déclaré dans un communiqué.
CPS a déclaré qu’il n’y avait aucune preuve que les données avaient été utilisées, publiées ou distribuées à mauvais escient, mais a fourni aux ménages concernés une surveillance du crédit et une protection contre le vol d’identité pendant un an.
Les responsables du CPS ont déclaré que le district avait informé les familles et le personnel concernés, et informera également ceux qui n’ont pas examiné les dossiers « pour leur donner la tranquillité d’esprit ».
Le FBI et le Département de la sécurité intérieure ont enquêté sur la violation, et le fournisseur « surveille et continuera de surveiller Internet au cas où des données seraient publiées ou distribuées », a déclaré CPS.
Battelle for Kids a été embauché pour aider les dirigeants de district avec le programme d’évaluation des enseignants REACH de CPS. Ces évaluations tiennent compte de la croissance du rendement scolaire des élèves chaque année.
CPS a déclaré que Battelle for Kids avait appris sa violation par une lettre envoyée le 26 avril, mais « il n’y a aucune information spécifique sur les élèves concernés, et CPS n’est pas au courant que les informations personnelles ont également été compromises avant le 11 mai. »
CPS a déclaré qu’en raison de son contrat avec le fournisseur selon lequel les districts scolaires doivent être immédiatement informés de toute violation de données, il « traite la notification tardive et d’autres problèmes liés au traitement des données avec Battelle for Kids ».
Battelle for Kids a déclaré vendredi dans un communiqué au Chicago Sun-Times que la société « a immédiatement engagé une entreprise nationale de cybersécurité pour évaluer la gravité de l’incident et prendre des mesures pour atténuer l’impact potentiel ».
Des protocoles de sécurité plus solides ont depuis été mis en place, a déclaré la société, mais n’a pas expliqué pourquoi CPS n’avait pas été informé de la violation lors du processus d’évaluation.
Selon le Chicago Sun-Times, CPS est partenaire de Battelle for Kids depuis 2012. Le contrat le plus récent a été signé en janvier, un mois après la rupture, et devrait valoir environ 90 000 $ pour l’année se terminant le 31 janvier 2023.
Le Board of Education a versé à la société basée dans l’Ohio 1,4 million de dollars entre 2012 et 2020, a rapporté le Sun-Times, citant une base de données en ligne de CPS Provider Payments.