Le géant de l’éducation Pearson condamné à payer 1 million de dollars pour avoir minimisé une brèche

0

La Securities and Exchange Commission (SEC) des États-Unis a annoncé que Pearson, une société multinationale britannique d’édition et de services éducatifs, a accepté les accusations de mauvaise gestion du processus de divulgation pour une brèche de données de 2018 découverte en Mars 2019.

Pearson a accepté de payer une amende d’un million de dollars au civil pour régler les accusations « sans admettre ni nier les conclusions » qu’elle a tenté de cacher et de minimiser la brèche de données de 2018 qui a conduit au vol des « données des étudiants et des identifiants de connexion d’administrateur et de comptes clients de 13 000 écoles , de district et d’université » aux États-Unis.

En plus d’exfiltrer les données, y compris les noms, les dates de naissance et les adresses e-mail des étudiants après avoir exploité une faille critique affectant le logiciel Web AIMSweb1.0 utilisé par Pearson pour suivre les performances académiques des étudiants, les pirates chinois ont également volé des millions de lignes de données d’étudiants. et des informations d’identification facilement déchiffrables qui étaient »brouillées » à l’aide d’un algorithme obsolète.

« Comme le constate l’ordonnance, Pearson a choisi de ne pas divulguer cette brèche aux investisseurs jusqu’à ce qu’elle soit contactée par les médias, et même alors Pearson a sous-estimé la nature et la portée de l’incident et a surestimé la protection des données de l’entreprise », a déclaré Kristina Littman, chef de l’Unité Cyber ​​de la Division de la mise en application de la SEC.

« Alors que les entreprises publiques sont confrontées à la menace croissante des cyber-intrusions, elles doivent fournir des informations précises aux investisseurs sur les cyber-incidents importants. »

Une brèche divulguée seulement après une enquête médiatique

La société a partagé avec la SEC en juillet 2019 qu’elle pourrait faire face au risque d’un incident de confidentialité des données. Pourtant, l’entreprise n’a pas révélé qu’elle avait subi une violation de données un an plus tôt, même si la divulgation des facteurs de risque envoyée à la SEC avait été déposée après avoir informé les clients concernés de l’incident.

Plusieurs jours plus tard, Pearson a également publié une déclaration aux médias préalablement préparée seulement après qu’un média ait demandé des détails, tentant de minimiser l’étendue réelle de la brèche de données.

« Dans son rapport du 26 juillet 2019 fourni à la Commission, la divulgation des facteurs de risque de Pearson impliquait que Pearson faisait face au risque hypothétique qu’un « incident de confidentialité des données » « puisse entraîner une violation majeure de la confidentialité des données ou de la confidentialité », mais n’a pas révélé que Pearson avait en fait déjà connu une telle violation de données », explique la SEC.

« Le 31 juillet 2019, environ deux semaines après que Pearson a envoyé une notification de violation aux clients concernés, en réponse à une enquête d’un média national, Pearson a publié une déclaration aux médias préalablement préparée qui contenait également des inexactitudes sur la nature de la violation et le nombre de lignes et le type de données concernées. »

Selon le communiqué de presse de la SEC, Pearson a également déclaré ne pas dosposé de « protections strictes » pour défendre les données de ses clients, même si le géant de l’éducation n’a pas réussi à corriger la vulnérabilité critique qui a conduit à la violation au moins six mois après avoir été alerté qu’une mise à jour de sécurité de AIMSweb1.0 est disponible.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire