Edukacyjny gigant Pearson zhackowany, ujawniając dane klientów

Pearson potwierdził cyberatak, który ujawnił informacje klientów i wewnętrzne dane, po tym jak napastnicy uzyskali dostęp do jego systemów za pomocą narażonego tokena dewelopera.

Pearson, jedna z największych na świecie firm edukacyjnych, potwierdziła, że padła ofiarą ataku cybernetycznego. Jak donosił jako pierwszy BleepingComputer, w wyniku ataku ujawnione zostały dane klientów oraz wewnętrzne informacje firmy.

Brytyjski gigant, znany z podręczników, narzędzi cyfrowych i egzaminów w ponad 70 krajach, przyznał się do naruszenia bezpieczeństwa w Bleeping Computer.

„Ostatnio odkryliśmy, że nieuprawniony podmiot zyskał dostęp do części naszych systemów” – powiedział rzecznik Pearsona do Bleeping Computer. „Gdy zidentyfikowaliśmy tę aktywność, podjęliśmy kroki, aby ją zatrzymać i zbadać, co się stało i jakie dane zostały naruszone, z pomocą ekspertów od śledztw kryminalistycznych.”

Firma poinformowała, że skradzione informacje to głównie „dane archiwalne” i nie obejmowały danych pracowników. Pearson dodała: „Wspieraliśmy również śledztwo organów ścigania” i od tego czasu wzmocniliśmy bezpieczeństwo naszego systemu i narzędzia monitorujące, jak podaje Bleeping Computer.

Włamanie zaczęło się podobno w styczniu 2025 roku, kiedy hakerzy znaleźli GitLab Personal Access Token (PAT) w publicznym pliku. Ten token, używany przez programistów Pearson, dał napastnikom dostęp do wewnętrznego kodu źródłowego firmy. Kod ten zawierał więcej haseł i tokenów do usług chmurowych.

Korzystając z tych narzędzi, hakerzy rzekomo ukradli terabajty danych z systemów Pearsona oraz dostawców chmur, takich jak AWS, Google Cloud, Snowflake i Salesforce. Wśród skradzionych informacji znajdują się rzekomo dane klientów, dane finansowe, zgłoszenia do pomocy technicznej i inne.

Bleeping Computer informuje, że Pearson odmówił odpowiedzi na pytania, czy zapłacili okup, co dokładnie oznacza „dane archiwalne”, ile osób zostało dotkniętych, czy planują powiadomić klientów.

Chociaż Pearson nie potwierdził, ile użytkowników zostało dotkniętych, naruszenie to nastąpiło w kluczowym momencie dla systemów edukacyjnych na całym świecie. Kraje takie jak Zjednoczone Emiraty Arabskie, Chiny i USA szybko integrują AI z programami szkolnymi. Zjednoczone Emiraty Arabskie, na przykład, planują nauczać AI we wszystkich szkołach publicznych począwszy od 2025 roku.

Ta globalna zmiana zwiększa stawkę dla cyberbezpieczeństwa. Systemy AI używane w edukacji często obsługują ogromne ilości danych osobowych i behawioralnych.

Jeśli te systemy zostaną naruszone, mogą ujawnić nie tylko informacje o uczniach, ale także algorytmy kierujące tym, jak uczniowie się uczą, jak nauczyciele oceniają oraz jak podejmowane są decyzje dotyczące wyników w nauce.