Fowler sagt, alle offengelegten Dokumente seien offenbar von Schulen auf die Systeme von Raptor Technologies hochgeladen worden, einige davon in regelmäßigen monatlichen Abständen. In einigen Schulberichten, sagt Fowler, habe er spezifische Details gesehen, etwa dass Beamte Türen bemerkten, die sich nicht abschließen ließen, oder dass eine Überwachungskamera seit Monaten nicht funktionierte. „Wenn ein inländischer Terrorist im Grunde eine funktionierende Karte aller Schwachstellen eines Regierungsgebäudes, einer Schule oder irgendetwas hätte, wäre das ein großes hypothetisches Risiko“, sagt Fowler. „Auf einigen Karten ist sogar angegeben, in welche Richtung die Kinder rennen sollen, wenn ein aktiver Schütze aktiv ist, und wo sie sich verstecken sollen. So etwas habe ich noch nie gesehen.“
Der Sicherheitsforscher sichtete eine Stichprobe der zugänglichen Dokumente, um deren Authentizität zu ermitteln und festzustellen, wem sie gehörten. So konnte das Leck an Raptor Technologies gemeldet werden. WIRED nennt aus Sicherheitsgründen keine Schulen.
David Rogers, Chief Marketing Officer bei Raptor Technologies, teilte WIRED mit, dass das Unternehmen „sofort Sanierungsprotokolle implementiert“ habe, um die offengelegten Daten zu sichern, sobald es kontaktiert und eine Untersuchung des Problems eingeleitet worden sei. „Wir haben mit allen Raptor-Kunden kommuniziert“, sagt Rogers. „Zu diesem Zeitpunkt gibt es keine Hinweise darauf, dass Dritte außer dem Cybersicherheitsforscher und dem Personal von Raptor Technologies auf solche Daten zugegriffen haben“, sagt er und fügt hinzu, dass es keinen Grund zu der Annahme gibt, dass es zu einem Missbrauch der Informationen gekommen ist.
„Wir bedauern dieses Problem und alle damit verbundenen Bedenken oder Unannehmlichkeiten aufrichtig“, sagt Rogers. Die Untersuchung des Vorfalls durch das Unternehmen laufe noch, sagt Rogers und fügt hinzu, dass „die Sicherheit und das Wohlergehen von Kindern, Mitarbeitern und den Gemeindemitgliedern unserer Kunden für Raptor Technologies oberste Priorität haben“.
Mehrere von WIRED wegen des Verstoßes kontaktierte Schulbezirke reagierten nicht auf Anfragen nach Kommentaren oder lehnten eine Stellungnahme ab.
Über die Sicherheitsberichte hinaus, die in den offengelegten Akten enthalten waren, befanden sich Dokumente und Protokolle, die detaillierte persönliche Informationen über Studenten enthalten. In einigen Dokumenten werden die Risiken, die einzelne Schüler darstellen könnten, ihr aktuelles Verhalten und die Frage, ob es sich verbessert hat, detailliert beschrieben. In einem Dokument werden Drohungen oder Bedenken gegenüber einzelnen Schülern detailliert beschrieben: Darin wird ein Student genannt, der sich „in den letzten zwei Wochen fast täglich“ mit anderen Schülern gestritten und sie gemobbt hat.
In einer anderen Tagesordnung, bei der es um die Besprechung von Studenten geht, werden physische Angriffe von Studenten, Selbstverletzungsdrohungen einzelner Personen und Diebstähle aufgeführt. „[Student name] ist aggressiv, tritt, kratzt und kämpft jeden Morgen beim Aussteigen aus dem Bus“, heißt es in einer Akte über einen Studenten. Es heißt weiter, dass sich der Student „im Büro des Schulleiters einschloss und sich eine Schere schnappte“.
In den freigelegten Akten befanden sich auch Gesundheitsformulare, in denen die Namen der Schüler, die Namen und Telefonnummern ihrer Eltern, ihre Zahnärzte und ihr Gesundheitszustand aufgeführt waren. In einer Datei wurde der Typ-1-Diabetes eines Schülers aufgeführt, ob er eine Brille trug, seine letzte Tetanusimpfung und mehr. Zu den weiteren Akten gehörten Gerichtsbeschlüsse, in denen eine Person detailliert beschrieben wird, die wegen „kriminellen sexuellen Verhaltens gegenüber Minderjährigen“ angeklagt wurde, während es sich bei einer weiteren Akte um eine Schutzanordnung wegen Familienmissbrauchs handelt, in der Kinder und die beschuldigte Person namentlich genannt werden. Fowler sah auch vorübergehende einstweilige Verfügungen und Hausfriedensbruchanzeigen, die Menschen vom Besuch der Schulen ausschlossen.
Abgesehen davon, dass sie ein potenzielles physisches Sicherheitsrisiko darstellen, könnte die Offenlegung der Dateien auch ein Ziel für Cyberkriminelle wie Ransomware-Banden gewesen sein, sagt Fowler. „Sie haben Kinder, die sensible Schulzeugnisse haben, da gibt es hier so viele verschiedene Implikationen“, sagt er. Schulen, Hochschulen und Bildungseinrichtungen wurden in den letzten Jahren von Ransomware-Gruppen heimgesucht, wobei einige der kriminellen Banden auch auf die Erpressung von Personen mit gestohlenen Daten zurückgreifen.
Laut Sicherheitsfirma Emsisofts Testbericht zu Ransomware In den USA waren im Jahr 2023 mindestens 108 K-12-Bezirke und mindestens 72 weiterführende Schulen von Ransomware betroffen. Bei einigen dieser Vorfälle handelte es sich um sensible Dateien von Schülern gestohlen und ohne Wissen der Menschen direkt aus Schulen online gestellt. „Wir haben alle als Kinder dumme Sachen gemacht, und dann sind wir erwachsen geworden und daraus herausgewachsen“, sagt Fowler. „Das eigentliche Datenschutzproblem besteht darin, dass Sie als Kind aufgrund einer Datenschutzverletzung für immer verfolgt werden könnten.“
Aktualisiert um 13:00 Uhr ET, 11. Januar 2024: Eine Grafik, die für einen nicht verwandten Artikel gedacht war, wurde versehentlich in eine frühere Version dieser Geschichte eingefügt. Wir bedauern den Fehler.