【安全资讯】教育巨头Pearson遭网络攻击，客户数据泄露

概要：

教育巨头Pearson近日遭遇网络攻击，导致公司数据和客户信息被盗。这一事件不仅影响了Pearson的声誉，也引发了对教育行业网络安全的广泛关注。作为全球最大的学术出版和数字学习工具提供商之一，Pearson的客户遍布70多个国家，数据泄露的影响不容小觑。

主要内容：

Pearson在声明中确认，攻击者通过一个暴露的GitLab个人访问令牌（PAT）获得了对其开发环境的访问权限。该令牌在一个公开的.git/config文件中被发现，攻击者利用这一漏洞进入了公司的内部代码库，获取了包含硬编码凭证和认证令牌的源代码。这些凭证随后被用于从Pearson的内部网络和云基础设施中窃取大量数据，包括AWS和Google Cloud等服务。

据悉，泄露的数据包括客户信息、财务数据、支持票据和源代码，影响人数达数百万。虽然Pearson表示被盗数据主要是“遗留数据”，但具体的客户影响和是否支付赎金等问题，公司并未对此作出回应。此事件凸显了网络安全的重要性，尤其是在教育和科技行业，攻击者利用暴露的配置文件进行攻击的手段愈发普遍。

Pearson还表示，已采取措施加强系统安全，包括增强安全监控和认证。随着调查的深入，Pearson承诺将与客户和合作伙伴分享更多信息。这一事件再次提醒企业在开发过程中必须严格保护敏感信息，避免将凭证嵌入公共代码库中。