El gigante educativo Pearson sufrió un ciberataque que permitió a los cibercriminales robar datos corporativos e información de sus clientes.
Pearson es una empresa educativa con sede en el Reino Unido y uno de los mayores proveedores mundiales de publicaciones académicas, herramientas de aprendizaje digital y evaluaciones estandarizadas. La compañía colabora con escuelas, universidades y particulares en más de 70 países a través de sus servicios impresos y en línea.
En un comunicado, Pearson confirmó haber sufrido un ciberataque y el robo de datos, pero indicó que se trataba principalmente de "datos heredados". "Recientemente descubrimos que un cibercriminal accedió a una parte de nuestros sistemas", confirmó un representante de Pearson a BleepingComputer. "Una vez identificada la actividad, tomamos medidas para detenerla e investigamos lo sucedido y qué datos se vieron afectados con expertos forenses. También apoyamos la investigación de las fuerzas del orden. Hemos tomado medidas para implementar medidas de seguridad adicionales en nuestros sistemas, incluyendo mejoras en la monitorización y autenticación de la seguridad".
Seguimos investigando, pero por el momento creemos que el atacante descargó principalmente datos antiguos. Compartiremos información adicional directamente con clientes y socios según corresponda. Pearson también confirmó que los datos robados no incluían información de empleados.
Un token de GitLab expuesto
Esta declaración surge después de que fuentes informaran que los atacantes comprometieron el entorno de desarrollo de Pearson en enero de 2025 a través de un token de acceso personal de GitLab expuesto, encontrado en un archivo público .git/config.
Este archivo de configuración local se utiliza en los proyectos de Git para almacenar ajustes de configuración, como el nombre del proyecto, la dirección de correo electrónico y otra información. Si este archivo se expone por error y contiene tokens de acceso incrustados en URL remotas, puede otorgar a los atacantes acceso no autorizado a repositorios internos.
En el ataque a Pearson, el token expuesto permitió a los cibercriminales acceder al código fuente de la empresa, que contenía credenciales y tokens de autenticación para plataformas en la nube, harcodeados.
Durante los meses siguientes, el cibercriminal utilizó estas credenciales para robar terabytes de datos de la red interna y la infraestructura en la nube de la empresa, incluyendo AWS, Google Cloud y varios servicios de bases de datos en la nube como Snowflake y Salesforce CRM.
Estos datos robados supuestamente contienen información de clientes, datos financieros, tickets de soporte y código fuente, con millones de personas afectadas.
Sin embargo, cuando BleepingComputer preguntó a Pearson si habían pagado un rescate, qué entendían por "datos heredados", cuántos clientes se vieron afectados y si se les notificaría, la empresa respondió que no haría comentarios al respecto. Pearson reveló previamente en enero que estaba investigando una vulneración de seguridad en una de sus subsidiarias, PDRI, que se cree está relacionada con este ataque.
El análisis de archivos de configuración de Git y credenciales expuestas se ha convertido en un método común para que los cibercriminales vulneren los servicios en la nube.
El año pasado, Internet Archive sufrió una vulneración de seguridad después de que los cibercriminales descubrieran un archivo de configuración de Git expuesto que contenía un token de autenticación para los repositorios de GitLab de la empresa.
Fuente: BC