信息來(lái)源:Freebuf
8 月16 日,美國(guó)證券交易委員會(huì) (SEC) 宣布,英國(guó)跨國(guó)教育出版服務(wù)公司培生(Pearson),已就2018 年數(shù)據(jù)泄露事件中披露程序處理不當(dāng)?shù)闹缚剡_(dá)成了和解。
Pearson未及時(shí)披露違規(guī)行為
據(jù)SEC宣布,Pearson公司同意支付 100 萬(wàn)美元的民事罰款,以解決“不承認(rèn)或否認(rèn)調(diào)查結(jié)果”的指控,該指控試圖掩蓋和淡化 2018 年發(fā)生的數(shù)據(jù)泄露事件,此次泄露事件導(dǎo)致美國(guó)1.3萬(wàn)所學(xué)校的學(xué)生和管理員登陸憑證信息泄露。
據(jù)SEC表示,Pearson于2019年7月提交的半年審查中,將該數(shù)據(jù)泄露事件稱為“假想風(fēng)險(xiǎn)”,即使在數(shù)據(jù)泄露已經(jīng)發(fā)生后同樣如此。在同月的一份聲明中,Pearson集團(tuán)宣稱,泄露的信息可能包括出生日期和電子郵件地址,事實(shí)上,當(dāng)時(shí)Pearson公司已經(jīng)知道這些記錄被竊取。
SEC執(zhí)法部網(wǎng)絡(luò)部門負(fù)責(zé)人克里斯汀娜?利特曼表示: “正如該聲明所發(fā)現(xiàn)的,Pearson選擇在媒體接觸到泄漏事件之前不向投資者披露這一違規(guī)行為,即使這樣,Pearson還是低估了事件的性質(zhì)和影響范圍,夸大了公司的數(shù)據(jù)保護(hù)能力“;“隨著上市公司面臨日益嚴(yán)重的網(wǎng)絡(luò)入侵威脅,它們必須向投資者提供有關(guān)重大網(wǎng)絡(luò)事件的準(zhǔn)確信息?!?
媒體詢問(wèn)后才披露違規(guī)行為
Pearson公司于2019 年 7 月在與美國(guó)證券交易委員會(huì)溝通中表示,公司可能面臨數(shù)據(jù)隱私泄露的風(fēng)險(xiǎn)。即便如此,Pearson公司也沒(méi)有披露一年前發(fā)生的數(shù)據(jù)泄露事件。它在將泄露事件通知受影響的客戶后,才把風(fēng)險(xiǎn)因素披露遞交給美國(guó)證券交易委員會(huì)。
美國(guó)證券交易委員會(huì)在8月16日發(fā)布的聲明中解釋道,“Pearson公司在2019 年 7 月 26 日提交給委員會(huì)的報(bào)告中,指出公司存在數(shù)據(jù)泄露的風(fēng)險(xiǎn),但并未披露 Pearson事實(shí)上已經(jīng)發(fā)生了數(shù)據(jù)泄露事件,”
2019 年 7 月 31 日,在 Pearson 向受影響的客戶發(fā)送違規(guī)通知兩周后,Pearson 發(fā)布了一份事先準(zhǔn)備好的媒體聲明,該聲明包含泄露數(shù)據(jù)的行數(shù)和數(shù)據(jù)類型。
據(jù)美國(guó)證券交易委員會(huì)的新聞稿透露,盡管這家教育巨頭在收到AIMSweb1.0安全更新后至少6個(gè)月,未能修補(bǔ)導(dǎo)致黑客入侵的關(guān)鍵漏洞,但仍表示公司有嚴(yán)格的“保護(hù)措施”來(lái)保護(hù)其客戶的數(shù)據(jù)。