8月16日,美国证券交易委员会(SEC)宣布,英国跨国教育出版服务公司培生(Pearson),已就2018年数据泄露事件中披露程序处理不当的指控达成了和解。
Pearson未及时披露违规行为
据SEC宣布,Pearson公司同意支付 100 万美元的民事罚款,以解决“不承认或否认调查结果”的指控,该指控试图掩盖和淡化 2018 年发生的数据泄露事件,此次泄露事件导致美国1.3万所学校的学生和管理员登陆凭证信息泄露。
据SEC表示,Pearson于2019年7月提交的半年审查中,将该数据泄露事件称为“假想风险”,即使在数据泄露已经发生后同样如此。在同月的一份声明中,Pearson集团宣称,泄露的信息可能包括出生日期和电子邮件地址,事实上,当时Pearson公司已经知道这些记录被窃取。
SEC执法部网络部门负责人克里斯汀娜•利特曼表示: “正如该声明所发现的,Pearson选择在媒体接触到泄漏事件之前不向投资者披露这一违规行为,即使这样,Pearson还是低估了事件的性质和影响范围,夸大了公司的数据保护能力“;“随着上市公司面临日益严重的网络入侵威胁,它们必须向投资者提供有关重大网络事件的准确信息。”
媒体询问后才披露违规行为
Pearson公司于2019 年 7 月在与美国证券交易委员会沟通中表示,公司可能面临数据隐私泄露的风险。即便如此,Pearson公司也没有披露一年前发生的数据泄露事件。它在将泄露事件通知受影响的客户后,才把风险因素披露递交给美国证券交易委员会。
美国证券交易委员会在8月16日发布的声明中解释道,“Pearson公司在2019年7月26日提交给委员会的报告中,指出公司存在数据泄露的风险,但并未披露 Pearson事实上已经发生了数据泄露事件。”
2019年7月31日,在Pearson向受影响的客户发送违规通知两周后,Pearson发布了一份事先准备好的媒体声明,该声明包含泄露数据的行数和数据类型。
据美国证券交易委员会的新闻稿透露,尽管这家教育巨头在收到AIMSweb1.0安全更新后至少6个月,未能修补导致黑客入侵的关键漏洞,但仍表示公司有严格的“保护措施”来保护其客户的数据。