信息來源：Freebuf

8 月16 日，美國證券交易委員會 (SEC) 宣布，英國跨國教育出版服務公司培生（Pearson），已就2018 年數據泄露事件中披露程序處理不當的指控達成了和解。

Pearson未及時披露違規(guī)行為

據SEC宣布，Pearson公司同意支付 100 萬美元的民事罰款，以解決“不承認或否認調查結果”的指控，該指控試圖掩蓋和淡化 2018 年發(fā)生的數據泄露事件，此次泄露事件導致美國1.3萬所學校的學生和管理員登陸憑證信息泄露。

據SEC表示，Pearson于2019年7月提交的半年審查中，將該數據泄露事件稱為“假想風險”，即使在數據泄露已經發(fā)生后同樣如此。在同月的一份聲明中，Pearson集團宣稱，泄露的信息可能包括出生日期和電子郵件地址，事實上，當時Pearson公司已經知道這些記錄被竊取。

SEC執(zhí)法部網絡部門負責人克里斯汀娜?利特曼表示: “正如該聲明所發(fā)現的，Pearson選擇在媒體接觸到泄漏事件之前不向投資者披露這一違規(guī)行為，即使這樣，Pearson還是低估了事件的性質和影響范圍，夸大了公司的數據保護能力“；“隨著上市公司面臨日益嚴重的網絡入侵威脅，它們必須向投資者提供有關重大網絡事件的準確信息?！?

媒體詢問后才披露違規(guī)行為

Pearson公司于2019 年 7 月在與美國證券交易委員會溝通中表示，公司可能面臨數據隱私泄露的風險。即便如此，Pearson公司也沒有披露一年前發(fā)生的數據泄露事件。它在將泄露事件通知受影響的客戶后，才把風險因素披露遞交給美國證券交易委員會。

美國證券交易委員會在8月16日發(fā)布的聲明中解釋道，“Pearson公司在2019 年 7 月 26 日提交給委員會的報告中，指出公司存在數據泄露的風險，但并未披露 Pearson事實上已經發(fā)生了數據泄露事件，”

2019 年 7 月 31 日，在 Pearson 向受影響的客戶發(fā)送違規(guī)通知兩周后，Pearson 發(fā)布了一份事先準備好的媒體聲明，該聲明包含泄露數據的行數和數據類型。

據美國證券交易委員會的新聞稿透露，盡管這家教育巨頭在收到AIMSweb1.0安全更新后至少6個月，未能修補導致黑客入侵的關鍵漏洞，但仍表示公司有嚴格的“保護措施”來保護其客戶的數據。