El gigante educativo
Pearson sufrió un ciberataque
que permitió a los cibercriminales robar datos corporativos e información de
sus clientes.
Pearson es una empresa educativa con sede en el Reino Unido y uno de los
mayores proveedores mundiales de publicaciones académicas, herramientas de
aprendizaje digital y evaluaciones estandarizadas. La compañía colabora con
escuelas, universidades y particulares en más de 70 países a través de sus
servicios impresos y en línea.
En un comunicado, Pearson confirmó haber sufrido un ciberataque y el robo de
datos, pero indicó que se trataba principalmente de «datos heredados».
«Recientemente descubrimos que un cibercriminal accedió a una parte de
nuestros sistemas»,
confirmó un representante de Pearson a BleepingComputer. «Una vez identificada la actividad, tomamos medidas para detenerla e
investigamos lo sucedido y qué datos se vieron afectados con expertos
forenses. También apoyamos la investigación de las fuerzas del orden. Hemos
tomado medidas para implementar medidas de seguridad adicionales en nuestros
sistemas, incluyendo mejoras en la monitorización y autenticación de la
seguridad».
Seguimos investigando, pero por el momento creemos que el atacante descargó
principalmente datos antiguos. Compartiremos información adicional
directamente con clientes y socios según corresponda. Pearson también confirmó
que los datos robados no incluían información de empleados.
Un token de GitLab expuesto
Esta declaración surge después de que fuentes informaran que
los atacantes comprometieron el entorno de desarrollo de Pearson en enero
de 2025 a través de un token de acceso personal de GitLab expuesto, encontrado en un archivo público .git/config.
Este archivo de configuración local se utiliza en los proyectos de Git para
almacenar ajustes de configuración, como el nombre del proyecto, la dirección
de correo electrónico y otra información. Si este archivo se expone por error
y contiene tokens de acceso incrustados en URL remotas, puede otorgar a los
atacantes acceso no autorizado a repositorios internos.
En el ataque a Pearson, el token expuesto permitió a los cibercriminales
acceder al código fuente de la empresa, que contenía credenciales y tokens
de autenticación para plataformas en la nube, harcodeados.
Durante los meses siguientes, el cibercriminal utilizó estas credenciales para
robar terabytes de datos de la red interna y la infraestructura en la nube de
la empresa, incluyendo AWS, Google Cloud y varios servicios de bases de datos
en la nube como Snowflake y Salesforce CRM.
Estos datos robados supuestamente contienen información de clientes, datos
financieros, tickets de soporte y código fuente, con millones de personas
afectadas.
Sin embargo, cuando BleepingComputer preguntó a Pearson si habían pagado un
rescate, qué entendían por «datos heredados», cuántos clientes se vieron
afectados y si se les notificaría, la empresa respondió que no haría
comentarios al respecto.
Pearson reveló previamente en enero
que estaba investigando una vulneración de seguridad en una de sus
subsidiarias, PDRI, que se cree está relacionada con este ataque.
El análisis de archivos de configuración de Git y credenciales expuestas se ha
convertido en un método común para que los cibercriminales vulneren los
servicios en la nube.
El año pasado,
Internet Archive sufrió
una vulneración de seguridad después de que los cibercriminales descubrieran
un
archivo de configuración de Git expuesto
que contenía un token de autenticación para los repositorios de GitLab de la
empresa.
Fuente:
BC