Ga naar de inhoud
18 augustus 2021 • Nieuws

Uitgeverij betaalt 1 miljoen dollar bagatelliseren datalek

De Britse uitgeverij Pearson moet een boete van 1 miljoen dollar betalen wegens het bagatelliseren van een datalek waarbij miljoenen studentengegevens werden gestolen en er misleidende verklaringen werden gegeven. Dat heeft de Amerikaanse beurswaakhond SEC aangekondigd.

import189-Datalek_Illustratie_Banner_2

Pearson is een grote uitgever van schoolboeken. Aanvallers wisten in 2018 studentengegevens, waaronder geboortedata en e-mailadressen, alsmede inloggegevens van systeembeheerders van 13.000 klantenaccounts van schooldistricten en universiteiten te stelen. Het ging om miljoenen studentenrecords. In het jaarrapport van 2019 noemde Pearson een datalek een “hypothetisch risico”, ook al wist het bedrijf dat een datalek zich in 2018 had voorgedaan.

De uitgeverij kwam in juli 2019 met een mediaverklaring dat bij het datalek mogelijk geboortedata en e-mailadressen waren gestolen, ook al wist het bedrijf dat die gegevens wel degelijk waren buitgemaakt. Verder stelde Pearson dat het over strikte beveiligingsmaatregelen beschikte, ook al had het nagelaten een kritieke kwetsbaarheid te patchen waardoor de aanvaller uiteindelijk wist binnen te komen.

Op 21 maart 2019 ontdekte Pearson dat een aanvaller een kwetsbaarheid in AIMSweb had gebruikt om miljoenen records van een server te downloaden. Het ging om een kritiek beveiligingslek waardoor een aanvaller willekeurige code op kwetsbare servers kan uitvoeren. De ontwikkelaar kwam in september 2018 met een beveiligingsupdate voor dit lek in AIMSweb. Pearson wist in september 2018 dat de patch beschikbaar was, maar installeerde die pas in maart 2019 nadat het datalek was ontdekt.

In juli 2019 waarschuwde Pearson klanten voor het datalek, maar meldde niet dat gebruikersnamen en wachtwoordhashes van schoolbeheerders waren buitgemaakt. Die bleven daardoor risico lopen, aldus de SEC.

Eind juli kwam Pearson met een mediaverklaring die volgens de SEC voor verschillende redenen misleidend was. Volgens de beurswaakhond is het belangrijk dat bedrijven die met een datalek te maken krijgen juiste informatie aan investeerders over het incident geven en heeft Pearson hierbij verschillende regels overtreden. De uitgeverij en de SEC zijn nu overeengekomen dat Pearson een boete van 1 miljoen dollar betaalt.

Lees meer op security.nl

Wat te doen bij een datalek?

Bij het verwerken van persoonsgegevens moet u zich aan de wet- en regelgeving houden met betrekking tot de bescherming van deze persoonsgegevens. Deze regels staan in de Algemene Verordening Gegevensbescherming (AVG). Naleving van deze regels worden gecontroleerd door de Autoriteit Persoonsgegevens (AP).

Indien u te maken heeft met inbreuk op de beveiliging of iemand buiten uw organisatie ongewenst toegang had tot persoonsgegevens die u verwerkt, is er sprake van een datalek. Het melden van een datalek moet binnen 72 uur gedaan worden bij de Autoriteit Persoonsgegevens, dit is de meldplicht datalekken. Er zijn consequenties verbonden aan het te laat melden van een lek. In sommige gevallen is er een hoog risico voor de betrokkenen en moet u het datalek ook melden aan de betrokkenen.

Voorkom dat u een datalek melding moet maken en een datalek boete door uw medewerkers te trainen hoe zij met persoonsgegevens om moeten gaan. Mocht u wel te maken krijgen met een datalek dan is het fijn als uw medewerkers op de hoogte zijn van de wet rondom datalekken. Lees meer over dit onderwerp in onze kennisbank of bekijk de privacy trainingen om uw medewerkers aantoonbaar te trainen.


Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.