Tech

Pearson สำนักพิมพ์ด้านการศึกษาถูกปรับฐานปกปิดข้อมูลรั่วไหล

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์กล่าวว่าผู้จัดพิมพ์เข้าใจผิด นักลงทุนในขอบเขตของการละเมิดข้อมูลปี 2018

  • Alex Scroxton

    โดย

    • อเล็กซ์ สครอกซ์ตัน ตัวแก้ไขความปลอดภัย
    • Alex Scroxton

      เผยแพร่เมื่อ: 17 ส.ค. 2564 10:41

    สหรัฐอเมริกา สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต. ) ได้กำหนดโทษปรับ 1 ล้านดอลลาร์ในลอนดอน สำนักพิมพ์การศึกษาตาม n เพียร์สัน

    เพื่อชำระค่าใช้จ่ายที่ตั้งใจทำให้นักลงทุนเข้าใจผิด การโจมตีทางไซเบอร์ในปี 2018 ที่เห็นบันทึกของนักเรียนนับล้าน รวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ถูกบุกรุก

    เหตุการณ์ดังกล่าวเห็นข้อมูลนักเรียนและข้อมูลรับรองการเข้าสู่ระบบของผู้ดูแลระบบที่เกี่ยวข้องกับบัญชีลูกค้าของเขตการศึกษาและมหาวิทยาลัย 13,000 บัญชีที่ถูกขโมย แต่ตามที่ผู้สืบสวนของ SEC ระบุว่า Pearson อ้างถึงเหตุการณ์ความเป็นส่วนตัวของข้อมูลว่าเป็น “ความเสี่ยงที่คาดเดาได้” ในรายงานรายครึ่งปีเผยแพร่ กรกฎาคม 2019 หลังจากเกิดการละเมิดขึ้น

    ในการเปิดเผยข้อมูลการละเมิดในเดือน กรกฎาคม 2562 เพียร์สันยังกล่าวอีกว่าการละเมิด “อาจรวมถึง” วันเดือนปีเกิดและที่อยู่อีเมลโดยที่รู้อยู่แล้วว่าบันทึกที่ละเมิดได้รวมข้อมูลนี้และกล่าวว่า มันมี “การป้องกันที่เข้มงวด” ในสถานที่จริงตามที่ผู้ตรวจสอบพบว่าไม่สามารถแก้ไข CVE ที่สำคัญในระบบของตนได้เป็นเวลาหกเดือนหลังจากการเปิดเผย ก.ล.ต. ยังกล่าวอีกว่าแถลงการณ์ของสื่อที่เชื่อมโยงด้านบนของ Pearson ละเว้นเพื่อระบุว่ามีการขโมยบันทึกข้อมูลและรหัสผ่านที่แฮชนับล้านรายการ

    การสอบสวนของ SEC ยังพบว่าการควบคุมและขั้นตอนการเปิดเผยข้อมูลของ Pearson มี ได้รับการออกแบบมาไม่ดีและไม่สามารถรับประกันได้ว่าบุคคลภายในองค์กรที่รับผิดชอบในการกำหนดการเปิดเผยข้อมูลได้รับแจ้งข้อมูลบางอย่างเกี่ยวกับสถานการณ์ของการละเมิด

    “ตามคำสั่งพบว่า เพียร์สันเลือกที่จะไม่เปิดเผยการละเมิดนี้ต่อนักลงทุนจนกว่าจะได้รับการติดต่อจากสื่อ และจากนั้น Pearson ก็ยังพูดถึงลักษณะและขอบเขตของเหตุการณ์ที่ต่ำเกินไป และพูดเกินจริงถึงการปกป้องข้อมูลของบริษัท” Kristina Littman หัวหน้าหน่วย Cyber ​​Unit ของ SEC Enforcement Division กล่าว .

    “ในขณะที่บริษัทมหาชนเผชิญกับภัยคุกคามที่เพิ่มขึ้นจากการบุกรุกทางไซเบอร์ พวกเขาจะต้องให้ข้อมูลที่ถูกต้องแก่นักลงทุนเกี่ยวกับเหตุการณ์ทางไซเบอร์ที่สำคัญ”

    คำสั่งพบว่าเพียร์สันละเมิดการทวีคูณ le บทความของมาตรา 17 ของกฎหมายหลักทรัพย์ของสหรัฐอเมริกาปี 1933 และมาตรา 13 ของกฎหมายการแลกเปลี่ยนของปี 1934 บริษัทได้ตกลงที่จะยุติและเลิกกระทำการฝ่าฝืนข้อกำหนดเหล่านี้โดยไม่ยอมรับหรือปฏิเสธข้อค้นพบของการสอบสวน

    โฆษกของ บริษัท กล่าวว่า: “เพียร์สันยืนยันว่าได้บรรลุข้อตกลงบังคับใช้กับสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์เกี่ยวกับการเปิดเผยข้อมูลสาธารณะของบริษัทในเดือนกรกฎาคม 2019 เกี่ยวกับการละเมิดข้อมูลปี 2018 ที่เกี่ยวข้องกับ AIMSweb 1.0 เครื่องมือซอฟต์แวร์บนเว็บสำหรับป้อนและติดตามผลการเรียนของนักศึกษาที่เกษียณอายุในเดือนกรกฎาคม 2019 ตามแผนการเกษียณอายุที่กำหนดไว้ก่อนหน้านี้

    “ภายใต้ข้อตกลง เพียร์สันไม่ยอมรับหรือปฏิเสธการค้นพบที่กำหนดไว้ในคำสั่งของคณะกรรมการ ก.ล.ต. รวมถึงการละเมิด เพียร์สันจะต้องได้รับคำสั่งยุติและยุติ

    โดยกำหนดให้เพียร์สันไม่มีส่วนร่วมในการละเมิดบทบัญญัติบางประการของกฎหมายหลักทรัพย์ของรัฐบาลกลาง และจะจ่ายค่าปรับทางแพ่ง 1 ล้านเหรียญ ในคำสั่ง ก.ล.ต. รับทราบความร่วมมือของเพียร์สันกับเจ้าหน้าที่ ก.ล.ต.”

    แสดงความคิดเห็นเกี่ยวกับค่าปรับ Orange Cyberdefense Dominic Trott ผู้จัดการผลิตภัณฑ์ในสหราชอาณาจักรกล่าว เหตุการณ์เน้นย้ำถึงความสำคัญของความโปร่งใสในการเปิดเผยเหตุการณ์ โดยเฉพาะอย่างยิ่งเนื่องจากภาคการศึกษาได้รับแรงกดดันอย่างหนักจากผู้ประสงค์ร้ายรวมถึงแก๊งแรนซัมแวร์

    “ผ่านความร่วมมือและความโปร่งใสเท่านั้น นักวิจัยและนักเทคโนโลยีในโลกไซเบอร์สามารถเริ่มพลิกกระแสต่อต้านอาชญากรไซเบอร์ที่ตั้งใจจะสร้างความเสียหายให้กับภาคส่วนนี้ได้หรือไม่” Trott กล่าว

    “ตามที่เพียร์สันได้เรียนรู้ การไม่เปิดเผยการละเมิดอย่างเหมาะสม ยังสร้างความเสียหายต่อชื่อเสียงขององค์กรได้มากกว่า และอาจได้รับโทษทางกฎหมายที่รุนแรง โดยเฉพาะอย่างยิ่งเมื่อข้อมูลลูกค้าเกี่ยวข้อง

    “กระบวนการเปิดเผยการละเมิดควรเป็นส่วนหนึ่งของแนวทางแบบผสมผสานขององค์กรเพื่อ การรักษาความปลอดภัยในโลกไซเบอร์ n ของบุคคล กระบวนการและเทคโนโลยีที่เปิดใช้งานเพื่อลดความเสี่ยง ลดผลกระทบของการละเมิดหากเกิดขึ้น และแสดงให้เห็นถึงความขยันหมั่นเพียรและแนวปฏิบัติที่ดีที่สุดต่อทั้งลูกค้าและหน่วยงานที่กำกับดูแล”

    อ่านเพิ่มเติมเกี่ยวกับเหตุการณ์การละเมิดข้อมูล การจัดการและการกู้คืน

  • _searchsitetablet_520X173.jpg” data-srcset=”https://cdn.ttgtmedia.com/visuals/ComputerWeekly/HeroImages/data-network-connected-privacy-adobe_searchsitetablet_520X173.jpg 960w,https://cdn.ttgtmedia.com/visuals/ComputerWeekly/HeroImages/data-network-connected-privacy-adobe .jpg 1280w”>
    การขโมยข้อมูลในการโจมตี ransomware อาจเปลี่ยนเกมการเปิดเผยข้อมูล

    โดย: แอเรียล วัลด์แมน

  • การเปิดเผยข้อมูลการละเมิดข้อมูลปี 2019: 10 เรื่องที่ใหญ่ที่สุด – จนถึงตอนนี้

    โดย: ร็อบ ไรท์

  • คำถามที่พบบ่อย: การแปลงเป็นดิจิทัลส่งผลต่อลำดับความสำคัญของการปฏิบัติตาม SEC อย่างไร

    โดย: คารอน คาร์ลสัน


  • กฎการเปิดเผยความปลอดภัยทางไซเบอร์ของ SEC ได้รับการอัปเดตคำแนะนำ

    โดย: ปีเตอร์ โลชิน

    • บ้าน
  • ธุรกิจ
  • การดูแลสุขภาพ
  • ไลฟ์สไตล์
  • เทค
  • โลก
  • อาหาร
  • เกม
  • การท่องเที่ยว
  • Leave a Reply

    Your email address will not be published.

    Back to top button