FTC Wajibkan Illuminate Hapus Data Siswa yang Tidak Diperlukan

Federal Trade Commission (FTC) mengajukan penyelesaian kasus terhadap penyedia teknologi pendidikan Illuminate Education, yang mewajibkan perusahaan menghapus data siswa yang tidak relevan serta meningkatkan keamanan sistemnya. Langkah ini diambil terkait insiden kebocoran data pada 2021 yang mengekspos informasi pribadi sekitar 10 juta siswa.

Latar Belakang Kasus

Keputusan FTC muncul setelah negara bagian California, Connecticut, dan New York menyetujui penyelesaian hukum dengan Illuminate senilai $5,1 juta. Illuminate dikenal sebagai penyedia layanan berbasis cloud untuk sekolah K-12, dengan produk yang mengelola data akademik, penilaian, absensi, jadwal, hingga informasi demografis dan perilaku siswa.

Namun, FTC menilai perusahaan gagal dalam banyak aspek keamanan, termasuk lemahnya kontrol akses, deteksi dan respons, pemantauan kerentanan, praktik patching, serta penyimpanan data dalam bentuk plain text.

Kronologi Kebocoran

Pada Desember 2021, seorang peretas berhasil masuk ke sistem Illuminate menggunakan kredensial mantan karyawan yang sudah keluar lebih dari tiga tahun sebelumnya. Dengan akses tersebut, peretas mengekstrak data pribadi siswa, meliputi:

• Alamat email
• Alamat fisik
• Tanggal lahir
• Catatan akademik
• Informasi kesehatan

FTC juga mencatat bahwa Illuminate telah menerima peringatan dari vendor pihak ketiga mengenai kelemahan jaringan, namun tidak melakukan perbaikan. Bahkan, data siswa tetap disimpan dalam plain text hingga Januari 2022.

Misrepresentasi dan Keterlambatan Notifikasi

Illuminate disebut menyesatkan sekolah dengan mengklaim bahwa praktik keamanannya memenuhi standar industri, termasuk penggunaan enkripsi, padahal kenyataannya tidak. Lebih buruk lagi, perusahaan menunggu hingga dua tahun setelah insiden sebelum memberi tahu distrik sekolah yang terdampak, sehingga jutaan siswa tetap berisiko terkena serangan phishing dan ancaman lainnya.

Ketentuan Penyelesaian

Sebagai bagian dari kesepakatan, FTC mewajibkan Illuminate untuk:

• Menghapus seluruh data siswa yang tidak diperlukan
• Mengikuti jadwal retensi data publik
• Berhenti menyalahartikan praktik keamanan dalam kontrak
• Melaporkan insiden kebocoran data ke FTC selain otoritas terkait

Perintah ini akan segera difinalisasi dan dibuka untuk komentar publik selama 30 hari. Jika dilanggar, Illuminate dapat dikenakan denda perdata hingga $51.744 per pelanggaran.

Sumber: FTC