La Comisión de Bolsa y Valores de EE. UU. Anunció un acuerdo con Pearson, una empresa que proporciona software a las escuelas. La SEC descubrió que Pearson hizo “declaraciones engañosas y omisiones” sobre su violación de datos de 2018.
Violación de datos de Pearson
En 2018, una violación de datos del software AIMSweb 1.0 de Pearson filtró millones de nombres de usuario, contraseñas, fechas de nacimiento y direcciones de correo electrónico pertenecientes a estudiantes. Las credenciales de inicio de sesión de administrador también se vieron afectadas en más de 13.000 escuelas y universidades.
La SEC dice que Pearson se había referido a la infracción como un “riesgo hipotético” incluso después de que ocurrió, como parte de su informe semestral de julio de 2019 para los inversores. En un comunicado de prensa por esa misma época, Pearson dijo que la infracción “puede incluir” fechas de nacimiento y direcciones de correo electrónico, mientras que internamente supo tales datos se habían filtrado.
La compañía dijo además que tenía “protecciones estrictas”, pero que no pudo parchear la vulnerabilidad del software durante seis meses después de la violación. Finalmente, Pearson no mencionó que “se robaron millones de filas de datos de estudiantes, nombres de usuario y contraseñas hash”.
Sin admitir ni negar los hallazgos de la SEC, Pearson acordó cesar y desistir de cometer violaciones de las disposiciones de la SEC y pagar una multa civil de US $ 1 millón.
