信息來(lái)源：Freebuf

8 月16 日，美國(guó)證券交易委員會(huì) (SEC) 宣布，英國(guó)跨國(guó)教育出版服務(wù)公司培生（Pearson），已就2018 年數(shù)據(jù)泄露事件中披露程序處理不當(dāng)?shù)闹缚剡_(dá)成了和解。

Pearson未及時(shí)披露違規(guī)行為

據(jù)SEC宣布，Pearson公司同意支付 100 萬(wàn)美元的民事罰款，以解決“不承認(rèn)或否認(rèn)調(diào)查結(jié)果”的指控，該指控試圖掩蓋和淡化 2018 年發(fā)生的數(shù)據(jù)泄露事件，此次泄露事件導(dǎo)致美國(guó)1.3萬(wàn)所學(xué)校的學(xué)生和管理員登陸憑證信息泄露。

據(jù)SEC表示，Pearson于2019年7月提交的半年審查中，將該數(shù)據(jù)泄露事件稱(chēng)為“假想風(fēng)險(xiǎn)”，即使在數(shù)據(jù)泄露已經(jīng)發(fā)生后同樣如此。在同月的一份聲明中，Pearson集團(tuán)宣稱(chēng)，泄露的信息可能包括出生日期和電子郵件地址，事實(shí)上，當(dāng)時(shí)Pearson公司已經(jīng)知道這些記錄被竊取。

SEC執(zhí)法部網(wǎng)絡(luò)部門(mén)負(fù)責(zé)人克里斯汀娜?利特曼表示: “正如該聲明所發(fā)現(xiàn)的，Pearson選擇在媒體接觸到泄漏事件之前不向投資者披露這一違規(guī)行為，即使這樣，Pearson還是低估了事件的性質(zhì)和影響范圍，夸大了公司的數(shù)據(jù)保護(hù)能力“；“隨著上市公司面臨日益嚴(yán)重的網(wǎng)絡(luò)入侵威脅，它們必須向投資者提供有關(guān)重大網(wǎng)絡(luò)事件的準(zhǔn)確信息?！?

媒體詢(xún)問(wèn)后才披露違規(guī)行為

Pearson公司于2019 年 7 月在與美國(guó)證券交易委員會(huì)溝通中表示，公司可能面臨數(shù)據(jù)隱私泄露的風(fēng)險(xiǎn)。即便如此，Pearson公司也沒(méi)有披露一年前發(fā)生的數(shù)據(jù)泄露事件。它在將泄露事件通知受影響的客戶(hù)后，才把風(fēng)險(xiǎn)因素披露遞交給美國(guó)證券交易委員會(huì)。

美國(guó)證券交易委員會(huì)在8月16日發(fā)布的聲明中解釋道，“Pearson公司在2019 年 7 月 26 日提交給委員會(huì)的報(bào)告中，指出公司存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)，但并未披露 Pearson事實(shí)上已經(jīng)發(fā)生了數(shù)據(jù)泄露事件，”

2019 年 7 月 31 日，在 Pearson 向受影響的客戶(hù)發(fā)送違規(guī)通知兩周后，Pearson 發(fā)布了一份事先準(zhǔn)備好的媒體聲明，該聲明包含泄露數(shù)據(jù)的行數(shù)和數(shù)據(jù)類(lèi)型。

據(jù)美國(guó)證券交易委員會(huì)的新聞稿透露，盡管這家教育巨頭在收到AIMSweb1.0安全更新后至少6個(gè)月，未能修補(bǔ)導(dǎo)致黑客入侵的關(guān)鍵漏洞，但仍表示公司有嚴(yán)格的“保護(hù)措施”來(lái)保護(hù)其客戶(hù)的數(shù)據(jù)。