A Securities and Exchange Commission anunciou que a Pearson plc, uma empresa pública com sede em Londres que fornece publicações educacionais e outros serviços para escolas e universidades, concordou em pagar US$ 1 milhão para liquidar acusações que enganou investidores sobre uma intrusão cibernética de 2018 envolvendo o roubo de milhões de registros de alunos, incluindo datas de nascimento e endereços de e-mail, e tinham controles e procedimentos de divulgação inadequados.
A ordem da SEC conclui que Pearson fez declarações enganosas e omissões sobre a violação de dados de 2018 envolvendo o roubo de dados de alunos e credenciais de login de administrador de 13.000 contas de clientes de escolas, distritos e universidades. Em seu relatório semestral, arquivado em julho de 2019, a Pearson referiu-se a um incidente de privacidade de dados como um risco hipotético, quando, na verdade, a intrusão cibernética de 2018 já havia ocorrido. E em um comunicado à mídia de julho de 2019, Pearson afirmou que a violação pode incluir datas de nascimento e endereços de e-mail, quando, na verdade, ela sabia que tais registros foram roubados, e que Pearson tinha "proteções estritas" em vigor, quando, de fato , ele falhou ao corrigir a vulnerabilidade crítica por seis meses após ser notificado. O comunicado à mídia também omitiu que milhões de linhas de dados e nomes de usuário de alunos e senhas com hash foram roubados. A ordem também determina que os controles e procedimentos de divulgação da Pearson não foram projetados para garantir que os responsáveis ??por fazer as determinações de divulgação fossem informados de certas informações sobre as circunstâncias em torno da violação.
"Conforme determina o pedido, a Pearson optou por não divulgar essa violação aos investidores até que fosse contatada pela mídia e, mesmo assim, Pearson subestimou a natureza e o escopo do incidente e exagerou nas proteções de dados da empresa", disse Kristina Littman, chefe de a Unidade Cibernética da Divisão de Execução da SEC. "Como as empresas públicas enfrentam a ameaça crescente de intrusões cibernéticas, elas devem fornecer informações precisas aos investidores sobre os incidentes cibernéticos materiais."
A ordem da SEC concluiu que Pearson violou as Seções 17 (a) (2) e 17 (a) (3) do Securities Act de 1933 e a Seção 13 (a) do Exchange Act de 1934 e as Regras 12b-20, 13a-15 (a), e 13a-16 abaixo. Sem admitir ou negar as conclusões da SEC, Pearson concordou em cessar e desistir de cometer violações dessas disposições e pagar uma multa civil de US$ 1 milhão.
