Ο γίγαντας στον τομέα της εκπαίδευσης, Pearson, έπεσε θύμα κυβερνοεπίθεσης η οποία φέρεται να οδήγησε και στην παραβίαση εταιρικών δεδομένων και πληροφοριών πελατών (όπως αναφέρει το BleepingComputer).
Η Pearson, με έδρα το Ηνωμένο Βασίλειο, συγκαταλέγεται στους κορυφαίους παρόχους εκπαιδευτικού περιεχομένου παγκοσμίως, προσφέροντας έντυπο και ψηφιακό υλικό, εργαλεία ψηφιακής μάθησης καθώς και εξεταστικές υπηρεσίες σε σχολεία, πανεπιστήμια και ιδιώτες σε περισσότερες από 70 χώρες.
Ένας εκπρόσωπος της Pearson φέρεται να επιβεβαίωσε στο BleepingComputer ότι υπήρξε παραβίαση δεδομένων, αλλά είπε ότι ήταν κατά βάση “παλιά δεδομένα“.
Δείτε επίσης: VeriSource: Παραβίαση δεδομένων επηρεάζει 4 εκατ. άτομα
Ο εκπρόσωπος είπε ότι όταν αντιλήφθηκαν την ύποπτη δραστηριότητα, κινήθηκαν άμεσα για να τη σταματήσουν και ξεκίνησαν εσωτερική έρευνα με τη βοήθεια ειδικών. Επίσης, ενημερώθηκαν οι αρμόδιες αρχές.
“Προχωρήσαμε στην ενίσχυση της ασφάλειας των υποδομών μας, εφαρμόζοντας επιπλέον μέτρα προστασίας, όπως αυξημένη επιτήρηση και βελτιωμένο σύστημα ελέγχου ταυτότητας“, πρόσθεσε ο εκπρόσωπος της Pearson.
Η εταιρεία τόνισε ότι η έρευνα βρίσκεται ακόμα σε εξέλιξη, αλλά εκτιμάται πως τα περισσότερα δεδομένα που εκτέθηκαν είναι παλιά. Υποσχέθηκε επίσης ότι θα ενημερώσει απευθείας τους πελάτες και συνεργάτες της, όπου αυτό κριθεί απαραίτητο.
Τέλος, η Pearson διαβεβαίωσε ότι οι πληροφορίες του προσωπικού της δεν περιλαμβάνονται στα δεδομένα που διέρρευσαν.
Εκτεθειμένο GitLab token
Η συγκεκριμένη ανακοίνωση ακολούθησε αναφορές που έφτασαν στο BleepingComputer, σύμφωνα με τις οποίες κακόβουλοι παράγοντες εισχώρησαν στο developer environment της Pearson τον Ιανουάριο του 2025. Η διείσδυση φέρεται να έγινε εφικτή μέσω ενός εκτεθειμένου GitLab Personal Access Token (PAT), το οποίο εντοπίστηκε μέσα σε δημόσιο αρχείο ρυθμίσεων .git/config.
Δείτε επίσης: Η εταιρεία Telecom MTN Group αποκάλυψε παραβίαση δεδομένων
Το αρχείο .git/config, που χρησιμοποιείται για την αποθήκευση configuration settings, μπορεί να περιλαμβάνει ευαίσθητες πληροφορίες όπως ονόματα έργων και διευθύνσεις email. Εάν αυτό το αρχείο εκτεθεί κατά λάθος και περιέχει access tokens ενσωματωμένα σε απομακρυσμένες διευθύνσεις URL, μπορεί να δώσει στους εισβολείς μη εξουσιοδοτημένη πρόσβαση σε εσωτερικά repositories.
Στην περίπτωση της Pearson, το εκτεθειμένο token επέτρεψε στους δράστες να αποκτήσουν πρόσβαση στον πηγαίο κώδικα της εταιρείας. Εκεί εντόπισαν επιπλέον hard-coded credentials και authentication tokens για υπηρεσίες cloud, τα οποία τους επέτρεψαν να επεκτείνουν την επίθεσή τους.
Κατά τους επόμενους μήνες, οι επιτιθέμενοι φέρεται να χρησιμοποίησαν τα διαπιστευτήρια αυτά για να αποσπάσουν τεράστιο όγκο δεδομένων από εσωτερικά δίκτυα και υποδομές cloud της Pearson: AWS, Google Cloud, Snowflake και Salesforce CRM.
Η παραβίαση δεδομένων της Pearson περιλαμβάνει πληροφορίες πελατών, οικονομικά έγγραφα, αναφορές υποστήριξης και πηγαίο κώδικα.
Όταν το BleepingComputer ζήτησε διευκρινίσεις από την Pearson – μεταξύ άλλων για το αν καταβλήθηκαν λύτρα, τι εννοούσαν με τον όρο “παλαιού τύπου” δεδομένα, πόσοι χρήστες επηρεάστηκαν και αν θα ειδοποιηθούν οι πελάτες – η εταιρεία απέφυγε να απαντήσει σε αυτές τις ερωτήσεις.
Αξίζει να σημειωθεί ότι ήδη από τον Ιανουάριο η Pearson είχε ανακοινώσει πως διερευνούσε περιστατικό παραβίασης που αφορούσε θυγατρική της, την PDRI, γεγονός που φαίνεται να συνδέεται με τη συγκεκριμένη κυβερνοεπίθεση.
Το παραπάνω περιστατικό αναδεικνύει μια σοβαρή και δυστυχώς επαναλαμβανόμενη αδυναμία στον τομέα της κυβερνοασφάλειας: τη μη ασφαλή διαχείριση διαπιστευτηρίων και αρχείων ρύθμισης. Το γεγονός ότι ένα τόσο κρίσιμο στοιχείο – ένα GitLab Personal Access Token – βρέθηκε σε δημόσιο αρχείο.git/config δείχνει έλλειψη βασικών πρακτικών ασφάλειας από πλευράς της Pearson.
Δείτε επίσης: Yale New Haven Health: Παραβίαση δεδομένων επηρεάζει 5,5 εκατ. ασθενείς
Τέτοιες παραλείψεις είναι ιδιαιτέρως ανησυχητικές όταν συμβαίνουν σε μεγάλους οργανισμούς που διαχειρίζονται τεράστιες ποσότητες ευαίσθητων δεδομένων. Η χρήση hard-coded credentials στον πηγαίο κώδικα είναι κάτι που εδώ και χρόνια θεωρείται κακή πρακτική και θα έπρεπε να έχει αντιμετωπιστεί με πιο σύγχρονες διαδικασίες ασφαλείας.
Το συμβάν αυτό επίσης φανερώνει πόσο ευάλωτες παραμένουν οι cloud υποδομές όταν δεν συνοδεύονται από συνεχείς ελέγχους, αυτοματοποιημένη ανίχνευση διαρροών και σωστή εκπαίδευση προσωπικού. Είναι μια ακόμη υπενθύμιση ότι οι παραβιάσεις δεν απαιτούν πάντα εξαιρετικά περίπλοκες μεθόδους — αρκεί ένα αμελές commit ή μια λάθος ρύθμιση.
Πηγή: www.bleepingcomputer.com
