Eğitim devi Pearson, tehdit aktörlerinin kurumsal veri ve müşteri bilgilerini çalmasına izin veren bir siber saldırıya maruz kaldı.
Pearson, İngiltere merkezli bir eğitim şirketi ve dünyanın en büyük akademik yayıncılık, dijital öğrenme araçları ve standart değerlendirmeler sağlayıcılarından biridir. Şirket, basılı ve çevrimiçi hizmetleri aracılığıyla 70’den fazla ülkedeki okullar, üniversiteler ve bireylerle çalışmaktadır.
BleepingComputer’a yaptığı açıklamada, Pearson bir siber saldırıya uğradıklarını ve verilerin çalındığını doğruladı, ancak bunun çoğunlukla “eski veriler” olduğunu belirtti.
Bir Pearson temsilcisi BleepingComputer’a onayladı. “Son zamanlarda yetkisiz bir aktörün sistemlerimizin bir kısmına eriştiğini keşfettik.”
“Etkinliği belirledikten sonra, onu durdurmak ve ne olduğunu ve hangi verilerin adli tıp uzmanlarından etkilendiğini araştırmak için adımlar attık. Kolluk kuvvetlerinin soruşturmasını da destekledik. Güvenlik izleme ve kimlik doğrulamasını geliştirmek de dahil olmak üzere sistemlerimize ek korumalar dağıtmak için adımlar attık.”
“Araştırmaya devam ediyoruz, ancak şu anda aktörün büyük ölçüde eski verileri indirdiğine inanıyoruz. Ek bilgileri doğrudan müşteriler ve ortaklarla uygun şekilde paylaşacağız.”
Pearson ayrıca çalınan verilerin çalışan bilgilerini içermediğini de doğruladı.
Bu veya başka bir siber saldırı hakkında bilginiz var mı? Bilgileri paylaşmak istiyorsanız, Lawrencea.11’deki sinyalden güvenli ve gizli bir şekilde iletişime geçebilirsiniz.
Maruz kalan bir gitLab jetonu
Bu ifade, kaynakların BleepingComputer’a tehdit aktörlerinin Ocak 2025’te Pearson’un geliştirici ortamını, bir genel .git/config dosyasında bulunan açık bir Gitlab kişisel erişim belirteci (PAT) aracılığıyla tehlikeye attığını söyledikten sonra geliyor.
Bir .git/config dosyası, GIT projeleri tarafından proje adı, e -posta adresi ve diğer bilgiler gibi yapılandırma ayarlarını depolamak için kullanılan yerel bir yapılandırma dosyasıdır. Bu dosya yanlışlıkla ortaya çıkarsa ve uzak URL’lere gömülü erişim belirteçleri içeriyorsa, saldırganlara dahili depolara yetkisiz erişim sağlayabilir.
Pearson’a yapılan saldırıda, maruz kalan jeton, tehdit aktörlerinin şirketin kaynak koduna erişmesine izin verdi, bu da bulut platformları için daha fazla kodlanmış kimlik bilgileri ve kimlik doğrulama jetonları içeriyordu.
Sonraki aylar boyunca, tehdit aktörünün bu kimlik bilgilerini, AWS, Google Cloud ve Snowflake ve Salesforce CRM gibi çeşitli bulut tabanlı veritabanı hizmetleri dahil olmak üzere şirketin dahili ağından ve bulut altyapısından terabayt veri çalmak için kullandığı bildirildi.
Bu çalınan verilerin, milyonlarca insanın etkilenmesi ile müşteri bilgileri, finansal, destek biletleri ve kaynak kodu içerdiği iddia ediliyor.
Bununla birlikte, BleepingComputer Pearson’a bir fidye ödeyip ödemediklerini, “eski veriler”, kaç müşterinin etkilendiği ve müşterilerin bilgilendirilmesi durumunda ne kastettiklerini sorduğunda, şirket bu sorular hakkında yorum yapmayacaklarını yanıtladı.
Pearson daha önce Ocak ayında, bu saldırı ile ilişkili olduğuna inanılan iştiraklerinden biri olan PDRI’nin ihlalini araştırdıklarını açıklamıştı.
GIT yapılandırma dosyaları ve açık kimlik bilgileri için tarama, tehdit aktörlerinin bulut hizmetlerini ihlal etmeleri için ortak bir yöntem haline gelmiştir.
Geçen yıl, tehdit aktörleri şirketin GITLAB depoları için bir kimlik doğrulama jetonu içeren açık bir GIT yapılandırma dosyası keşfettikten sonra internet arşivi ihlal edildi.
Bu nedenle, kamu erişimi önleyerek ve uzak URL’lere kimlik bilgilerini gömmekten kaçınarak “.git/config” dosyalarını güvence altına almak önemlidir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.