image

Uitgeverij Pearson betaalt 1 miljoen dollar boete voor bagatelliseren datalek

dinsdag 17 augustus 2021, 10:46 door Redactie, 3 reacties
Laatst bijgewerkt: 17-08-2021, 11:55

De Britse uitgeverij Pearson moet een boete van 1 miljoen dollar betalen wegens het bagatelliseren van een datalek waarbij miljoenen studentengegevens werden gestolen en er misleidende verklaringen werden gegeven. Dat heeft de Amerikaanse beurswaakhond SEC aangekondigd.

Pearson is een grote uitgever van schoolboeken. Aanvallers wisten in 2018 studentengegevens, waaronder geboortedata en e-mailadressen, alsmede inloggegevens van systeembeheerders van 13.000 klantenaccounts van schooldistricten en universiteiten te stelen. Het ging om miljoenen studentenrecords. In het jaarrapport van 2019 noemde Pearson een datalek een "hypothetisch risico", ook al wist het bedrijf dat een datalek zich in 2018 had voorgedaan.

De uitgeverij kwam in juli 2019 met een mediaverklaring dat bij het datalek mogelijk geboortedata en e-mailadressen waren gestolen, ook al wist het bedrijf dat die gegevens wel degelijk waren buitgemaakt. Verder stelde Pearson dat het over strikte beveiligingsmaatregelen beschikte, ook al had het nagelaten een kritieke kwetsbaarheid te patchen waardoor de aanvaller uiteindelijk wist binnen te komen.

Op 21 maart 2019 ontdekte Pearson dat een aanvaller een kwetsbaarheid in AIMSweb had gebruikt om miljoenen records van een server te downloaden. Het ging om een kritiek beveiligingslek waardoor een aanvaller willekeurige code op kwetsbare servers kan uitvoeren. De ontwikkelaar kwam in september 2018 met een beveiligingsupdate voor dit lek in AIMSweb. Pearson wist in september 2018 dat de patch beschikbaar was, maar installeerde die pas in maart 2019 nadat het datalek was ontdekt.

In juli 2019 waarschuwde Pearson klanten voor het datalek, maar meldde niet dat gebruikersnamen en wachtwoordhashes van schoolbeheerders waren buitgemaakt. Die bleven daardoor risico lopen, aldus de SEC. Eind juli kwam Pearson met een mediaverklaring die volgens de SEC voor verschillende redenen misleidend was. Volgens de beurswaakhond is het belangrijk dat bedrijven die met een datalek te maken krijgen juiste informatie aan investeerders over het incident geven en heeft Pearson hierbij verschillende regels overtreden. De uitgeverij en de SEC zijn nu overeengekomen dat Pearson een boete van 1 miljoen dollar betaalt.

Image

Reacties (3)
17-08-2021, 11:44 door Anoniem
Schijntje, dit had nog veel duurder kunnen uitvallen.

Liegen over een incident en informatie achterhouden voor slachtoffers en beleggers is een doodzonde. Die bestuurders van Pearson zouden ontslagen moeten worden. Laat ze die boeten maar betalen met de bonussen van de bestuurders
17-08-2021, 14:01 door Anoniem
Schijntje, dit had nog veel duurder kunnen uitvallen.

Inderdaad, ze maken 310 miljoen Britse pond winst, op jaarbasis. Geen klein bedrijfje.
17-08-2021, 14:58 door Anoniem
Volgens de beurswaakhond is het belangrijk dat bedrijven die met een datalek te maken krijgen juiste informatie aan investeerders over het incident geven en heeft Pearson hierbij verschillende regels overtreden.

Het SEC is alleen verantwoordelijk voor de beurshandel, maar het voelt wat vreemd aan dat men schrijft: ."...belangrijk dat... juiste informatie aan investeerders over het incident geven...". Mijn inziens nog belangrijker is dat de slachtoffers - ofwel de personen wiens data is gestolen - de juiste informatie krijgen. De privacy waakhond mag hier dus nog een hogere boete overheen gooien wat mij betreft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.