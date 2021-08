De Britse uitgeverij Pearson moet een boete van 1 miljoen dollar betalen wegens het bagatelliseren van een datalek waarbij miljoenen studentengegevens werden gestolen en er misleidende verklaringen werden gegeven. Dat heeft de Amerikaanse beurswaakhond SEC aangekondigd.

Pearson is een grote uitgever van schoolboeken. Aanvallers wisten in 2018 studentengegevens, waaronder geboortedata en e-mailadressen, alsmede inloggegevens van systeembeheerders van 13.000 klantenaccounts van schooldistricten en universiteiten te stelen. Het ging om miljoenen studentenrecords. In het jaarrapport van 2019 noemde Pearson een datalek een "hypothetisch risico", ook al wist het bedrijf dat een datalek zich in 2018 had voorgedaan.

De uitgeverij kwam in juli 2019 met een mediaverklaring dat bij het datalek mogelijk geboortedata en e-mailadressen waren gestolen, ook al wist het bedrijf dat die gegevens wel degelijk waren buitgemaakt. Verder stelde Pearson dat het over strikte beveiligingsmaatregelen beschikte, ook al had het nagelaten een kritieke kwetsbaarheid te patchen waardoor de aanvaller uiteindelijk wist binnen te komen.

Op 21 maart 2019 ontdekte Pearson dat een aanvaller een kwetsbaarheid in AIMSweb had gebruikt om miljoenen records van een server te downloaden. Het ging om een kritiek beveiligingslek waardoor een aanvaller willekeurige code op kwetsbare servers kan uitvoeren. De ontwikkelaar kwam in september 2018 met een beveiligingsupdate voor dit lek in AIMSweb. Pearson wist in september 2018 dat de patch beschikbaar was, maar installeerde die pas in maart 2019 nadat het datalek was ontdekt.

In juli 2019 waarschuwde Pearson klanten voor het datalek, maar meldde niet dat gebruikersnamen en wachtwoordhashes van schoolbeheerders waren buitgemaakt. Die bleven daardoor risico lopen, aldus de SEC. Eind juli kwam Pearson met een mediaverklaring die volgens de SEC voor verschillende redenen misleidend was. Volgens de beurswaakhond is het belangrijk dat bedrijven die met een datalek te maken krijgen juiste informatie aan investeerders over het incident geven en heeft Pearson hierbij verschillende regels overtreden. De uitgeverij en de SEC zijn nu overeengekomen dat Pearson een boete van 1 miljoen dollar betaalt.