Les numéros de sécurité sociale des enseignants, les dossiers scolaires des élèves et les adresses personnelles des familles font partie des dizaines d’informations qu’un groupe d’élèves du secondaire férus de technologie est tombé sur Google Drive cette année.
Les documents – dont beaucoup contenaient des informations confidentielles – ont été divulgués en raison d’une bizarrerie dans les paramètres de partage Google Drive du département de l’éducation, a découvert un groupe d’étudiants du Brooklyn Technical High School.
Les étudiants ont involontairement découvert qu’ils avaient accès à ces documents en janvier. Ils ont remarqué que le dossier Google Drive dans lequel ils téléchargeaient leurs devoirs pendant l’apprentissage à distance contenait des documents téléchargés par les élèves et le personnel des écoles de la ville. Ces documents comprenaient le travail en classe des élèves de deuxième année, une feuille d’inscription à une conférence parents-enseignants et des lettres de recommandation d’université, a déclaré un élève du Brooklyn Tech High School qui a demandé à rester anonyme.
Les étudiants ont ensuite demandé à rencontrer un membre du personnel senior de leur école, confirme un e-mail obtenu par Chalkbeat. Lors de la réunion, se souvient l’étudiant de Brooklyn Tech, le membre du personnel a écouté les étudiants parcourir une présentation PowerPoint expliquant les problèmes de confidentialité dans Google Drive du département de l’éducation. La présentation comprenait une diapositive avec des photos de certains des documents partagés, y compris un modèle que les étudiants eux-mêmes ont créé disant « Brooklyn Tech est meilleur que Stuyvesant ». (Brooklyn Tech et Stuyvesant sont deux des meilleures écoles secondaires de la ville.)
« À ce moment [after the meeting] nous pensions que le problème allait être réglé », a déclaré l’étudiant, ajoutant que le membre du personnel semblait choqué que les étudiants puissent voir autant de dossiers privés. « Nous l’avons un peu oublié. »
L’administrateur rencontré par les étudiants n’a pas répondu à la demande de commentaire de Chalkbeat.
En mars, les étudiants ont consulté Google Drive pour voir si les autorités avaient résolu le problème. Ils ont découvert que cela n’avait fait qu’empirer. L’étudiant a déclaré qu’il était tombé sur un document de paie d’une école contenant des informations sur la rémunération des enseignants, ainsi que des numéros de sécurité sociale, des numéros de téléphone et des adresses.
Inquiet, l’étudiant a commencé à appeler les numéros de téléphone des enseignants sur la liste, espérant mettre la main sur quelqu’un qui retirerait le document. Finalement, un enseignant a décroché et a été choqué d’entendre l’élève lui donner son numéro de sécurité sociale.
« Il était sous le choc parce que personne ne s’attend vraiment à ce qu’un jeune de 16 ans l’appelle à 10 heures du matin en lui disant ‘J’ai votre numéro de sécurité sociale' », a déclaré l’étudiant.
L’élève a déclaré qu’il était également tombé sur un dossier Google Drive contenant des certificats d’achèvement des enseignants pour le TREP, ou des pratiques éducatives adaptées aux traumatismes. Ces certificats contenaient les quatre derniers chiffres des numéros de sécurité sociale des enseignants, a déclaré l’étudiant.
Le 18 mars, l’étudiant de Brooklyn Tech a envoyé un e-mail à trois responsables du département de l’éducation de la ville, les informant de la violation de données.
« Mes amis et moi avons découvert un problème avec le domaine Google qui permet le partage de fichiers avec tous les étudiants et enseignants dans le système @nyc doe google drive », indique l’e-mail. « Mes amis et moi serions heureux de vous montrer l’étendue du problème (qui s’aggrave de jour en jour), la cause probable derrière cela et comment l’empêcher de se produire à l’avenir. J’ai pris le temps d’appeler 3 écoles et de les alerter des fichiers récemment modifiés qui contiennent des SSN, des identifiants d’employés, des numéros OSIS et des adresses personnelles. Veuillez répondre à cet e-mail ou, de préférence, appelez-moi pour que je puisse vous montrer comment la situation s’aggrave d’heure en heure.
Les fonctionnaires du ministère de l’Éducation ont répondu en quelques minutes, et les enregistrements d’appels montrent que l’étudiant a reçu un appel téléphonique du ministère le même jour.
L’étudiant a expliqué aux responsables par téléphone et dans un e-mail ultérieur qu’un paramètre caché dans Google Drive permet automatiquement à toute personne disposant d’une adresse e-mail fournie par le service éducatif de rechercher des fichiers Google Drive. L’année dernière, tous les élèves des écoles gérées par la ville ont reçu des adresses e-mail émises par le service de l’éducation pour accéder à l’enseignement à distance.
L’étudiant a expliqué comment le problème pourrait être évité à l’avenir.
Le lendemain, l’étudiant a envoyé un autre e-mail aux responsables du département disant « beaucoup moins de fichiers sont visibles dans le domaine Google ».
L’étudiant a suggéré que le département de l’éducation communique avec les écoles sur la façon d’empêcher les fichiers d’être visibles par tout le monde au sein du domaine. Et il a remercié le département de l’éducation « d’avoir répondu rapidement » au problème.
La semaine dernière, le département de l’éducation a confirmé qu’environ 3 000 étudiants et 100 employés avaient été touchés par un fuite de données. Les responsables du département de l’éducation ont déclaré qu’un étudiant avait réussi à accéder à un Google Drive contenant des informations privées sur certains étudiants et employés du département.
Les responsables du département n’ont pas confirmé si la violation signalée au département de l’éducation par les étudiants de Brooklyn Tech en mars était le même incident que celui confirmé la semaine dernière. Ils ont déclaré que les lois sur la confidentialité les empêchaient de commenter des écoles spécifiques. Pourtant, ils ont déclaré que la violation signalée la semaine dernière impliquait deux incidents distincts, l’un en août 2020 et l’autre en mars 2021.
Le ministère a réagi à ces incidents en prenant des mesures pour empêcher de futures violations de données. Par exemple, ils ont effectué un examen des fichiers électroniques, restreint les paramètres d’autorisation de partage de fichiers et mis en œuvre de nouveaux outils pour surveiller les nouveaux fichiers et les paramètres d’autorisation.
Les personnes touchées par les violations d’août 2020 et de mars ont été informées par courrier. Ils ont eu la possibilité de s’inscrire à deux ans de services gratuits de surveillance du crédit et de surveillance de l’usurpation d’identité.
Un enseignant a informé de manière anonyme Chalkbeat que la lettre qu’il avait reçue indiquait que la violation de données qui l’avait affecté s’était produite en mars.
Selon le ministère de l’Éducation, plusieurs enquêtes sont en cours sur ce qui a été abordé dans les lettres.
Bien que l’étudiant de Brooklyn Tech ait déclaré qu’il pensait que les informations confidentielles avaient été supprimées de Google Drive, il a déclaré qu’il était toujours préoccupé par les futures violations potentielles de données.
« Le problème n’est pas vraiment résolu en soi », a déclaré l’étudiant. Il a déclaré qu’il pensait que les informations sensibles ne devraient pas être partagées via Google Drive, car il est toujours possible pour un membre du personnel de partager accidentellement des informations avec une école entière en cliquant sur un bouton.
Le service de l’éducation n’a pas indiqué s’il cesserait d’utiliser Google Drive pour stocker et partager des informations sensibles. Mais ils ont expliqué que leurs conseils et leur formation en matière de confidentialité insistent sur le fait que les informations confidentielles ne doivent être partagées qu’avec les personnes autorisées à consulter ces informations.