Fowler diz que todos os documentos expostos parecem ter sido carregados pelas escolas nos sistemas da Raptor Technologies, alguns com uma frequência mensal regular. Em alguns relatórios escolares, diz Fowler, ele viu detalhes específicos, como funcionários notando portas que não trancam ou que uma câmera de segurança não funciona há meses. “Se um terrorista doméstico tivesse basicamente um mapa funcional de todas as vulnerabilidades de um edifício governamental, de uma escola ou de qualquer coisa, isso representaria um enorme risco hipotético”, diz Fowler. “Alguns dos mapas têm até setas indicando para onde as crianças vão correr se houver um atirador ativo, onde elas vão se esconder. Nunca vi nada assim.”
O pesquisador de segurança visualizou uma amostra dos documentos acessíveis para determinar sua autenticidade e a quem pertenciam – permitindo que o vazamento fosse relatado à Raptor Technologies. A WIRED não nomeia nenhuma escola por razões de segurança.
David Rogers, diretor de marketing da Raptor Technologies, disse à WIRED que a empresa “implementou imediatamente protocolos de remediação” para proteger os dados expostos assim que foi contatada e iniciou uma investigação sobre o problema. “Nós nos comunicamos com todos os clientes do Raptor”, diz Rogers. “Não há indicação neste momento de que tais dados tenham sido acessados por terceiros além do pesquisador de segurança cibernética e do pessoal da Raptor Technologies”, diz ele, acrescentando que não há razão para acreditar que tenha havido qualquer uso indevido das informações.
“Lamentamos sinceramente este problema e qualquer preocupação ou inconveniente que possa ter causado”, disse Rogers. A investigação da empresa sobre o incidente está em andamento, diz Rogers, acrescentando que “a segurança e o bem-estar das crianças, dos funcionários e dos membros da comunidade de nossos clientes é a principal prioridade da Raptor Technologies”.
Vários distritos escolares contatados pela WIRED sobre a violação não responderam aos pedidos de comentários ou se recusaram a comentar.
Além dos relatórios de segurança incluídos nos arquivos expostos, havia documentos e registros que detalham informações pessoais dos alunos. Alguns documentos detalham os riscos que os alunos individuais podem representar, o seu comportamento recente e se este tem melhorado. Um documento detalha ameaças ou preocupações sobre estudantes individuais: nomeia um estudante que tem lutado e intimidado outros estudantes “quase diariamente durante as últimas duas semanas”.
Outra, uma agenda de reunião discutindo estudantes, lista ataques físicos feitos por estudantes, ameaças de automutilação de um indivíduo e incidentes de roubo. “(Nome do aluno) é agressivo, chuta, arranha e briga durante a transição do ônibus todas as manhãs”, diz um arquivo sobre um aluno. Acrescenta que o aluno “trancou-se na sala do diretor e pegou uma tesoura”.
Também nos arquivos expostos havia formulários de saúde listando os nomes dos alunos, os nomes e números de telefone dos pais, os dentistas e as condições de saúde. Um arquivo detalhava o diabetes tipo 1 de um aluno, se ele usava óculos, sua última vacina antitetânica e muito mais. Outros arquivos incluíam ordens judiciais detalhando uma pessoa acusada de “conduta sexual criminosa com menor”, enquanto outro ainda é uma ordem de proteção para abuso familiar que nomeia as crianças e a pessoa acusada. Fowler também viu ordens de restrição temporárias e avisos de invasão que excluem as pessoas de visitar as escolas.
Além de representar riscos potenciais à segurança física, a exposição dos arquivos também poderia ter sido alvo de cibercriminosos, como gangues de ransomware, diz Fowler. “Você tem filhos com registros escolares delicados e há muitas implicações diferentes aqui”, diz ele. Escolas, faculdades e estabelecimentos de ensino foram atingidos por grupos de ransomware nos últimos anos, com algumas das gangues criminosas também recorrendo à extorsão de pessoas usando dados que roubaram.
De acordo com empresa de segurança Análise da Emsisoft sobre ransomware nos EUA, pelo menos 108 distritos de ensino fundamental e médio e pelo menos 72 escolas de ensino superior foram afetados por ransomware em 2023. Em alguns desses incidentes, arquivos confidenciais sobre alunos foram roubado e despejado on-line diretamente das escolas sem o conhecimento das pessoas. “Todos nós fizemos coisas estúpidas quando éramos crianças e depois crescemos e superamos isso”, diz Fowler. “A verdadeira questão da privacidade é algo que você fez quando criança e que pode assombrá-lo para sempre com base em uma violação de dados.”
Atualizado às 13h horário do leste dos EUA, 11 de janeiro de 2024: Um gráfico destinado a um artigo não relacionado foi incluído inadvertidamente em uma versão anterior desta história. Lamentamos o erro.
