信息來源：Freebuf

8 月16 日，美國證券交易委員會 (SEC) 宣布，英國跨國教育出版服務(wù)公司培生（Pearson），已就2018 年數(shù)據(jù)泄露事件中披露程序處理不當(dāng)?shù)闹缚剡_成了和解。

Pearson未及時披露違規(guī)行為

據(jù)SEC宣布，Pearson公司同意支付 100 萬美元的民事罰款，以解決“不承認或否認調(diào)查結(jié)果”的指控，該指控試圖掩蓋和淡化 2018 年發(fā)生的數(shù)據(jù)泄露事件，此次泄露事件導(dǎo)致美國1.3萬所學(xué)校的學(xué)生和管理員登陸憑證信息泄露。

據(jù)SEC表示，Pearson于2019年7月提交的半年審查中，將該數(shù)據(jù)泄露事件稱為“假想風(fēng)險”，即使在數(shù)據(jù)泄露已經(jīng)發(fā)生后同樣如此。在同月的一份聲明中，Pearson集團宣稱，泄露的信息可能包括出生日期和電子郵件地址，事實上，當(dāng)時Pearson公司已經(jīng)知道這些記錄被竊取。

SEC執(zhí)法部網(wǎng)絡(luò)部門負責(zé)人克里斯汀娜?利特曼表示: “正如該聲明所發(fā)現(xiàn)的，Pearson選擇在媒體接觸到泄漏事件之前不向投資者披露這一違規(guī)行為，即使這樣，Pearson還是低估了事件的性質(zhì)和影響范圍，夸大了公司的數(shù)據(jù)保護能力“；“隨著上市公司面臨日益嚴(yán)重的網(wǎng)絡(luò)入侵威脅，它們必須向投資者提供有關(guān)重大網(wǎng)絡(luò)事件的準(zhǔn)確信息?！?

媒體詢問后才披露違規(guī)行為

Pearson公司于2019 年 7 月在與美國證券交易委員會溝通中表示，公司可能面臨數(shù)據(jù)隱私泄露的風(fēng)險。即便如此，Pearson公司也沒有披露一年前發(fā)生的數(shù)據(jù)泄露事件。它在將泄露事件通知受影響的客戶后，才把風(fēng)險因素披露遞交給美國證券交易委員會。

美國證券交易委員會在8月16日發(fā)布的聲明中解釋道，“Pearson公司在2019 年 7 月 26 日提交給委員會的報告中，指出公司存在數(shù)據(jù)泄露的風(fēng)險，但并未披露 Pearson事實上已經(jīng)發(fā)生了數(shù)據(jù)泄露事件，”

2019 年 7 月 31 日，在 Pearson 向受影響的客戶發(fā)送違規(guī)通知兩周后，Pearson 發(fā)布了一份事先準(zhǔn)備好的媒體聲明，該聲明包含泄露數(shù)據(jù)的行數(shù)和數(shù)據(jù)類型。

據(jù)美國證券交易委員會的新聞稿透露，盡管這家教育巨頭在收到AIMSweb1.0安全更新后至少6個月，未能修補導(dǎo)致黑客入侵的關(guān)鍵漏洞，但仍表示公司有嚴(yán)格的“保護措施”來保護其客戶的數(shù)據(jù)。