Fowler mengatakan bahwa semua dokumen yang terbuka tampaknya diunggah oleh sekolah ke sistem Raptor Technologies, beberapa di antaranya dilakukan secara teratur setiap bulan. Dalam beberapa laporan sekolah, Fowler mengatakan bahwa ia melihat detail khusus seperti petugas yang mencatat pintu yang tidak terkunci atau kamera keamanan yang tidak berfungsi selama berbulan-bulan. “Jika seorang teroris domestik memiliki peta lengkap tentang semua kerentanan gedung pemerintah atau sekolah atau apa pun, itu merupakan risiko hipotetis yang besar,” kata Fowler. “Beberapa peta bahkan memiliki anak panah menunjukkan arah tempat anak-anak akan berlari jika ada penembak aktif, tempat mereka akan bersembunyi. Saya belum pernah melihat sesuatu seperti itu sebelumnya.”
Peneliti keamanan melihat sampel dokumen yang dapat diakses untuk menentukan keaslian dan pemiliknya – sehingga kebocoran dapat dilaporkan ke Raptor Technologies. WIRED tidak menyebutkan nama sekolah manapun karena alasan keamanan.
David Rogers, kepala pemasaran Raptor Technologies, mengatakan kepada WIRED bahwa perusahaan “langsung menerapkan protokol remediasi” untuk mengamankan data yang terbuka begitu mereka dihubungi dan memulai penyelidikan atas masalah ini. “Kami telah berkomunikasi dengan semua pelanggan Raptor,” kata Rogers. “Tidak ada indikasi saat ini bahwa data seperti itu diakses oleh pihak ketiga selain peneliti keamanan cyber dan personel Raptor Technologies,” katanya, menambahkan bahwa tidak ada alasan untuk percaya bahwa ada penyalahgunaan informasi tersebut.
“Kami dengan tulus menyesali masalah ini dan setiap kekhawatiran atau ketidaknyamanan yang mungkin disebabkan,” kata Rogers. Penyelidikan perusahaan terhadap insiden ini masih berlangsung, kata Rogers, sambil menambahkan bahwa “keselamatan dan kesejahteraan anak-anak, staf, dan anggota masyarakat pelanggan kami adalah prioritas utama Raptor Technologies.”
Beberapa distrik sekolah yang dihubungi oleh WIRED mengenai pelanggaran tersebut tidak merespons permintaan komentar atau menolak untuk berkomentar.
Selain laporan keamanan yang terdapat dalam file yang terbuka, terdapat juga dokumen dan catatan yang merinci informasi pribadi tentang siswa. Beberapa dokumen merinci risiko yang dapat ditimbulkan oleh siswa individual, perilaku mereka yang terakhir, dan apakah telah membaik. Satu dokumen merinci ancaman atau kekhawatiran tentang siswa individual: Ia menamai seorang siswa yang telah berkelahi dan membuli siswa lain “hampir setiap hari selama dua minggu terakhir.”
Yang lainnya, sebuah agenda pertemuan yang membahas siswa, mencantumkan serangan fisik yang dilakukan oleh siswa, ancaman individu tentang melukai diri sendiri, dan insiden pencurian. “Siswa [nama siswa] agresif, menendang, menggaruk, dan berkelahi saat berpindah dari bus setiap pagi,” kata salah satu file tentang seorang siswa. Ditambahkan bahwa siswa tersebut “mengunci diri di kantor kepala sekolah dan mengambil sebuah gunting.”
Juga dalam file yang terbuka terdapat formulir kesehatan yang mencantumkan nama siswa, nama dan nomor telepon orang tua mereka, dokter gigi mereka, dan kondisi kesehatan mereka. Satu file merinci diabetes tipe 1 seorang siswa, apakah mereka memakai kacamata, suntikan tetanus terakhir mereka, dan lain-lain. File lain mencakup perintah pengadilan yang merinci seseorang yang dituduh “Melakukan Kegiatan Seksual Kriminal dengan Anak di Bawah Umur,” sementara yang lainnya adalah perintah perlindungan terhadap kekerasan dalam keluarga yang mencantumkan nama anak-anak dan orang yang dituduh. Fowler juga melihat perintah penahanan sementara dan pemberitahuan larangan mengunjungi sekolah.
Selain menimbulkan risiko keamanan fisik potensial, kebocoran file juga bisa menjadi target bagi para penjahat siber seperti geng ransomware, kata Fowler. “Anda memiliki anak-anak yang memiliki catatan sekolah yang sensitif, Anda memiliki begitu banyak implikasi yang berbeda di sini,” katanya. Sekolah, perguruan tinggi, dan lembaga pendidikan telah menjadi target kelompok ransomware dalam beberapa tahun terakhir, dengan beberapa geng kriminal juga beralih ke pemerasan orang-orang dengan menggunakan data yang mereka curi.
Menurut tinjauan perusahaan keamanan Emsisoft tentang ransomware di Amerika Serikat, setidaknya 108 distrik K-12 dan setidaknya 72 sekolah menengah tingkat atas terkena dampak ransomware pada tahun 2023. Dalam beberapa insiden ini, file sensitif tentang siswa telah dicuri dan dibocorkan secara online langsung dari sekolah tanpa pengetahuan orang-orang. “Kita semua pernah melakukan hal bodoh ketika kita masih anak-anak, dan kemudian kita tumbuh dan meninggalkan hal itu,” kata Fowler. “Isu privasi yang sebenarnya adalah sesuatu yang Anda lakukan sebagai anak bisa menghantuimu selamanya berdasarkan pelanggaran data.”
Diperbarui pada pukul 1 siang ET, 11 Januari 2024: Grafik yang dimaksudkan untuk artikel yang tidak berhubungan secara tidak sengaja dimasukkan dalam versi sebelumnya dari cerita ini. Kami menyesali kesalahan tersebut.