Como parte da ordem final da FTC, a Illuminate Education deve reforçar salvaguardas, limitar a retenção e a coleta de dados pessoais e cumprir etapas obrigatórias de exclusão e notificação. A agência afirma que a violação atingiu 10,1 milhões de estudantes.

Ao aprovar uma ação de execução baseada em acordo, a FTC destacou que as exigências impostas à Illuminate Education Inc. busam corrigir tanto falhas de controles de segurança quanto problemas no ciclo de vida dos dados. A agência afirma que a empresa não adotou medidas razoáveis para proteger as informações pessoais dos estudantes, o que permitiu que um invasor acessasse registros ligados a 10,1 milhões de alunos. A FTC ressalta que identificadores como nome e data de nascimento podem permitir que criminosos abram contas, passem por verificações de identidade ou até criem identidades sintéticas. A ordem final determina que a Illuminate implemente melhorias voltadas a reduzir o risco de novos acessos não autorizados. Também exige mudanças na forma como a companhia coleta e retém informações pessoais, limitando a permanência de dados sensíveis e garantindo que as práticas de coleta fiquem alinhadas apenas ao que é necessário para operações legítimas. Além disso, a determinação da FTC inclui obrigações relacionadas à exclusão e à notificação. No enquadramento da agência, o caso reforça um padrão comum de fiscalização: quando organizações não protegem dados altamente sensíveis, elas podem não apenas sofrer violações, mas também ficar sujeitas a restrições sobre o que passam a poder fazer com essas informações pessoais após o incidente.