Le géant de l’éducation Pearson a subi une cyberattaque, permettant aux acteurs de la menace de voler des données d’entreprise et des informations sur les clients, a appris Breachtrace .
Pearson est une société d’éducation basée au Royaume-Uni et l’un des plus grands fournisseurs mondiaux de publications académiques, d’outils d’apprentissage numériques et d’évaluations standardisées. L’entreprise travaille avec des écoles, des universités et des particuliers dans plus de 70 pays grâce à ses services imprimés et en ligne.
Dans une déclaration à Breachtrace , Pearson a confirmé qu’ils avaient subi une cyberattaque et que des données avaient été volées, mais a déclaré qu’il s’agissait principalement de « données héritées. »
« Nous avons récemment découvert qu’un acteur non autorisé avait eu accès à une partie de nos systèmes », a confirmé un représentant de Pearson à Breachtrace .
« Une fois que nous avons identifié l’activité, nous avons pris des mesures pour l’arrêter et enquêter sur ce qui s’est passé et quelles données ont été affectées avec des experts en criminalistique. Nous avons également soutenu l’enquête des forces de l’ordre. Nous avons pris des mesures pour déployer des mesures de protection supplémentaires sur nos systèmes, notamment en améliorant la surveillance de la sécurité et l’authentification. »
« Nous continuons d’enquêter, mais pour le moment, nous pensons que l’acteur a téléchargé en grande partie des données héritées. Nous partagerons des informations supplémentaires directement avec les clients et partenaires, le cas échéant. »
Pearson a également confirmé que les données volées ne comprenaient pas d’informations sur les employés.
Un jeton GitLab exposé
Cette déclaration intervient après que des sources ont déclaré à Breachtrace que des acteurs de la menace avaient compromis l’environnement de développement de Pearson en janvier 2025 via un jeton d’accès personnel GitLab exposé (PAT) trouvé dans un public .fichier git / config.
A.le fichier git/config est un fichier de configuration local utilisé par les projets Git pour stocker les paramètres de configuration, tels qu’un nom de projet, une adresse e-mail et d’autres informations. Si ce fichier est exposé par erreur et contient des jetons d’accès intégrés dans des URL distantes, il peut donner aux attaquants un accès non autorisé aux référentiels internes.
Lors de l’attaque contre Pearson, le jeton exposé a permis aux auteurs de la menace d’accéder au code source de l’entreprise, qui contenait d’autres informations d’identification codées en dur et des jetons d’authentification pour les plates-formes cloud.
Au cours des mois suivants, l’auteur de la menace aurait utilisé ces informations d’identification pour voler des téraoctets de données du réseau interne et de l’infrastructure cloud de l’entreprise, notamment AWS, Google Cloud et divers services de base de données basés sur le cloud tels que Snowflake et Salesforce CRM.
Ces données volées contiendraient des informations sur les clients, des données financières, des tickets d’assistance et du code source, avec des millions de personnes touchées.
Cependant, lorsque Breachtrace a demandé à Pearson s’ils avaient payé une rançon, ce qu’ils entendaient par « données héritées », combien de clients étaient concernés et si les clients seraient informés, la société a répondu qu’elle ne commenterait pas ces questions.
Pearson avait précédemment révélé en janvier qu’ils enquêtaient sur une violation de l’une de leurs filiales, PDRI, qui serait liée à cette attaque.
L’analyse des fichiers de configuration Git et des informations d’identification exposées est devenue une méthode courante pour les auteurs de menaces de violer les services cloud.
L’année dernière, Internet Archive a été piraté après que des acteurs de la menace ont découvert un fichier de configuration Git exposé contenant un jeton d’authentification pour les référentiels GitLab de l’entreprise.
Pour cette raison, il est essentiel de sécuriser « .git / config » en empêchant l’accès public et pour éviter d’incorporer des informations d’identification dans des URL distantes.