The US Securities and Exchange Commission (SEC) hari ini mengumumkan bahwa Pearson, perusahaan penerbitan dan layanan pendidikan multinasional Inggris, telah menyelesaikan tuduhan kesalahan penanganan proses pengungkapan untuk pelanggaran data 2018 yang ditemukan pada Maret 2019.
Pearson setuju untuk membayar denda uang perdata $ 1 juta untuk menyelesaikan tuduhan “tanpa mengakui atau menyangkal temuan” bahwa ia mencoba untuk menyembunyikan dan mengecilkan pelanggaran data 2018 yang menyebabkan pencurian “data siswa dan kredensial login administrator dari 13.000 sekolah, akun pelanggan distrik dan universitas” di Amerika Serikat.
Selain mengekstrak data termasuk nama siswa, tanggal lahir, dan alamat email setelah mengeksploitasi kelemahan kritis yang mempengaruhi perangkat lunak berbasis web AIMSweb1.0 yang digunakan oleh Pearson untuk melacak kinerja akademik siswa, peretas China juga mencuri jutaan baris data siswa dan kredensial yang mudah dipecahkan yang “diacak” menggunakan algoritme yang sudah ketinggalan zaman.
Perusahaan berbagi dengan SEC pada Juli 2019 bahwa mereka dapat menghadapi risiko insiden privasi data. Namun, perusahaan tidak mengungkapkan bahwa mereka mengalami pelanggaran data satu tahun sebelumnya meskipun pengungkapan faktor risiko yang dikirim ke SEC diajukan setelah memberi tahu pelanggan yang terkena dampak insiden tersebut.
Beberapa hari kemudian, Pearson juga mengeluarkan pernyataan media yang disiapkan sebelumnya hanya setelah outlet media meminta perincian, yang mencoba mengecilkan tingkat pelanggaran data yang sebenarnya.
Selengkapnya: Bleeping Computer