В рамках итогового предписания Федеральной торговой комиссии (FTC) Illuminate Education должна усилить меры защиты, сократить сбор и сроки хранения персональных данных и выполнить обязательные процедуры удаления и уведомления. FTC утверждает, что инцидент затронул 10,1 млн учащихся.

Помимо одобрения урегулирования в рамках принудительных мер, FTC подчеркнула, что требования к Illuminate Education Inc. нацелены одновременно на устранение проблем с безопасностью и сбоями на протяжении всего жизненного цикла данных. По версии комиссии, компания не принимала разумных мер для защиты персональной информации учеников, из‑за чего злоумышленник получил доступ к записям, связанным с 10,1 млн учащихся. FTC отмечает, что такие идентификаторы, как имена и даты рождения, могут использоваться мошенниками для открытия аккаунтов, прохождения проверок личности или создания синтетических личностей. Итоговый приказ обязывает Illuminate внедрить улучшения, которые должны снизить риск дальнейшего несанкционированного доступа. Также компании предстоит изменить подход к сбору и хранению персональных данных: сократить удержание чувствительной информации и привести практики сбора в соответствие с тем, что необходимо для легитимной деятельности. Кроме того, в предписание FTC включены требования, касающиеся удаления данных и уведомления. В целом FTC обращает внимание на типичную для правоприменения логику: если организации не обеспечивают защиту крайне чувствительной информации, то последствия могут включать не только саму утечку, но и ограничения на то, как впоследствии допускается использовать персональные данные.