Ο εκπαιδευτικός γίγαντας Pearson υπέστη ένα cyberattack, επιτρέποντας στους ηθοποιούς απειλής να κλέψουν τα εταιρικά δεδομένα και τις πληροφορίες των πελατών, έχει μάθει ο BleePompomputer.
Η Pearson είναι μια εκπαιδευτική εταιρεία με έδρα το Ηνωμένο Βασίλειο και ένας από τους μεγαλύτερους παρόχους ακαδημαϊκών εκδόσεων στον κόσμο, εργαλεία ψηφιακής μάθησης και τυποποιημένες αξιολογήσεις. Η εταιρεία συνεργάζεται με σχολεία, πανεπιστήμια και άτομα σε περισσότερες από 70 χώρες μέσω των εκτυπωτικών και ηλεκτρονικών υπηρεσιών της.
Σε μια δήλωση προς τον BleepingComputer, ο Pearson επιβεβαίωσε ότι υπέστη μια κυβερνοχώρο και ότι τα δεδομένα κλέφθηκαν, αλλά δήλωσε ότι ήταν ως επί το πλείστον “δεδομένα κληρονομιάς”.
“Ανακαλύψαμε πρόσφατα ότι ένας μη εξουσιοδοτημένος ηθοποιός απέκτησε πρόσβαση σε ένα μέρος των συστημάτων μας”, επιβεβαίωσε ένας εκπρόσωπος της Pearson στον Bleepompomcomputer.
“Μόλις εντοπίσαμε τη δραστηριότητα, λάβαμε μέτρα για να το σταματήσουμε και να διερευνήσουμε τι συνέβη και ποια δεδομένα επηρεάστηκαν από τους εμπειρογνώμονες της εγκληματολογίας. Υποστηρίξαμε επίσης την έρευνα της επιβολής του νόμου.
“Συνεχίζουμε να ερευνούμε, αλλά αυτή τη στιγμή πιστεύουμε ότι ο ηθοποιός κατέβασε σε μεγάλο βαθμό δεδομένα παλαιού τύπου.
Ο Pearson επιβεβαίωσε επίσης ότι τα κλεμμένα δεδομένα δεν περιλάμβαναν πληροφορίες για τους εργαζόμενους.
Έχετε πληροφορίες σχετικά με αυτό ή άλλο cyberattack; Εάν θέλετε να μοιραστείτε τις πληροφορίες, μπορείτε να επικοινωνήσετε μαζί μας με ασφάλεια και εμπιστευτικά στο Signal στο Lawrencea.11, μέσω ηλεκτρονικού ταχυδρομείου στο [email protected] ή χρησιμοποιώντας τη φόρμα συμβουλών μας.
Ένα εκτεθειμένο διακριτικό gitlab
Αυτή η δήλωση έρχεται μετά από πηγές ανέφερε ότι ο BleepingComputer είναι ότι οι ηθοποιοί απειλής έθεσαν το περιβάλλον προγραμματιστών του Pearson τον Ιανουάριο του 2025 μέσω ενός εκτεθειμένου Gitlab προσωπικής πρόσβασης Token (PAT) που βρέθηκε σε ένα δημόσιο αρχείο .git/config.
Ένα αρχείο .git/config είναι ένα τοπικό αρχείο διαμόρφωσης που χρησιμοποιείται από τα έργα GIT για την αποθήκευση των ρυθμίσεων διαμόρφωσης, όπως το όνομα του έργου, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και άλλες πληροφορίες. Εάν αυτό το αρχείο είναι λανθασμένα εκτεθειμένο και περιέχει μάρκες πρόσβασης ενσωματωμένα σε απομακρυσμένες διευθύνσεις URL, μπορεί να δώσει στους επιτιθέμενους μη εξουσιοδοτημένους πρόσβαση σε εσωτερικά αποθετήρια.
Στην επίθεση εναντίον της Pearson, το εκτεθειμένο διακριτικό επέτρεψε στους ηθοποιούς απειλής να έχουν πρόσβαση στον πηγαίο κώδικα της εταιρείας, ο οποίος περιείχε περαιτέρω σκληρά κωδικοποιημένα διαπιστευτήρια και μάρκες ελέγχου ταυτότητας για πλατφόρμες cloud.
Κατά τους επόμενους μήνες, ο ηθοποιός απειλής χρησιμοποίησε αυτά τα διαπιστευτήρια για να κλέψει τα terabytes δεδομένων από το εσωτερικό δίκτυο της εταιρείας και την υποδομή cloud, συμπεριλαμβανομένων των AWS, Google Cloud και σε διάφορες υπηρεσίες βάσης δεδομένων που βασίζονται σε σύννεφο όπως το Snowflake και το Salesforce CRM.
Αυτά τα κλεμμένα δεδομένα φέρεται να περιέχουν πληροφορίες πελατών, οικονομικά, εισιτήρια υποστήριξης και πηγαίο κώδικα, με εκατομμύρια άτομα που επηρεάζονται.
Ωστόσο, όταν ο BleepingComputer ρώτησε τον Pearson για το αν πλήρωσαν ένα λύτρα, τι εννοούσαν με “δεδομένα παλαιού τύπου”, πόσοι πελάτες επηρεάστηκαν και αν οι πελάτες θα ειδοποιηθούν, η εταιρεία απάντησε ότι δεν θα σχολιάζουν αυτά τα ερωτήματα.
Μαργαριτάρι Ανακοινώθηκε προηγουμένως Τον Ιανουάριο ότι ερευνούσαν παραβίαση μιας από τις θυγατρικές τους, η PDRI, η οποία πιστεύεται ότι σχετίζεται με αυτή την επίθεση.
Η σάρωση για τα αρχεία διαμόρφωσης GIT και τα εκτεθειμένα διαπιστευτήρια έχει γίνει μια κοινή μέθοδος για τους ηθοποιούς απειλής να παραβιάζουν τις υπηρεσίες cloud.
Πέρυσι, το Archive Internet παραβιάστηκε αφού οι ηθοποιοί απειλών ανακάλυψαν ένα εκτεθειμένο αρχείο διαμόρφωσης GIT που περιέχει ένα διακριτικό ελέγχου ταυτότητας για τα αποθετήρια Gitlab της εταιρείας.
Για το λόγο αυτό, είναι κρίσιμο για την εξασφάλιση αρχείων .git/config “, εμποδίζοντας την πρόσβαση του κοινού και για να αποφύγετε την ενσωμάτωση διαπιστευτηρίων σε απομακρυσμένες διευθύνσεις URL.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
