Gigante da Educação Pearson Hackeada, Expondo Dados de Clientes

A Pearson confirmou um ataque cibernético que expôs informações de clientes e dados internos, depois que os atacantes acessaram seus sistemas por meio de um token de desenvolvedor exposto.

A Pearson, uma das maiores empresas de educação do mundo, confirmou que foi alvo de um ataque cibernético que expôs informações de clientes e dados internos, conforme relatado inicialmente pelo BleepingComputer.

A gigante com sede no Reino Unido, conhecida por livros didáticos, ferramentas digitais e exames em mais de 70 países, admitiu a violação ao Bleeping Computer.

“Descobrimos recentemente que um ator não autorizado ganhou acesso a uma parte de nossos sistemas”, disse um porta-voz da Pearson ao Bleeping Computer. “Assim que identificamos a atividade, tomamos medidas para interrompê-la e investigar o que aconteceu e quais dados foram afetados com a ajuda de especialistas forenses.”

A empresa afirmou que as informações roubadas eram principalmente “dados legados” e não incluíam registros de funcionários. Pearson acrescentou: “Também apoiamos a investigação da polícia” e, desde então, fortaleceram a segurança do seu sistema e as ferramentas de monitoramento, conforme relatado pelo Bleeping Computer.

O vazamento teria começado em janeiro de 2025, depois que hackers encontraram um Token de Acesso Pessoal do GitLab (PAT) em um arquivo público. Este token, usado pelos desenvolvedores da Pearson, deu aos atacantes acesso ao código-fonte interno da empresa. Esse código incluía mais senhas e tokens para serviços em nuvem.

Usando estes, os hackers supostamente roubaram terabytes de dados dos sistemas da Pearson e de provedores de nuvem, como AWS, Google Cloud, Snowflake e Salesforce. As informações roubadas supostamente incluem detalhes do cliente, dados financeiros, tickets de help desk e mais.

O Bleeping Computer informa que a Pearson se recusou a responder perguntas sobre se pagaram um resgate, o significado exato de “dados legados”, quantas pessoas foram afetadas, ou se planejavam notificar os clientes.

Embora a Pearson não tenha confirmado quantos usuários foram impactados, a violação ocorre em um momento crítico para os sistemas de educação em todo o mundo. Países como os Emirados Árabes Unidos, China e os EUA estão integrando rapidamente a IA aos currículos escolares. Os Emirados Árabes Unidos, por exemplo, planejam ensinar IA em todas as escolas públicas a partir de 2025.

Essa mudança global aumenta os riscos para a cibersegurança. Os sistemas de IA utilizados na educação costumam lidar com grandes quantidades de dados pessoais e comportamentais.

Se violados, esses sistemas poderiam expor não apenas as informações dos alunos, mas também os algoritmos que orientam como os alunos aprendem, como os professores avaliam, e como as decisões são tomadas sobre o desempenho acadêmico.