40 millions de données d’utilisateurs de la technologie éducative de Chegg dans la nature

Chegg a attiré l’attention de la Federal Trade Commission pour de graves atteintes à la sécurité. L’entreprise ne ferait même pas le strict minimum pour protéger ses données.

Chegg est une société américaine de technologie éducative avec une forte présence aux États-Unis. La Federal Trade Commission (FTC) a intenté une action en justice contre l’entreprise , l’accusant de négliger sa sécurité, qui depuis 2017 compromettait de nombreuses données personnelles. Parmi les violations, la société aurait exposé les données de 40 millions d’utilisateurs en 2018, après qu’un ancien sous-traitant ait utilisé ses informations d’identification pour accéder à une base de données tierce. Les noms, adresses e-mail, mots de passe, ainsi que la religion, l’orientation sexuelle ou les revenus des parents seraient vendus au marché noir.

Chegg a attiré l’attention de la FTC pour de graves violations de la sécurité

La FTC accuse également Chegg de ne pas avoir mis en œuvre des mesures de sécurité « commercialement raisonnables ». Cela permettrait aux employés et aux sous-traitants d’utiliser le même compte sans nécessiter d’authentification à deux facteurs ou de renseignements sur les menaces. La société a partagé des données personnelles en clair et a utilisé un cryptage «faible et obsolète» pour les mots de passe. Chegg n’aurait pas non plus de politique de sécurité décente avant janvier 2021, et il ne reçoit pas suffisamment de formation en matière de sécurité malgré trois campagnes de phishing.

Selon la FTC, Chegg a promis de régler la situation. La Société doit être précise sur les informations qu’elle collecte et limiter au maximum la collecte. Il mettra également en œuvre une authentification à deux facteurs ainsi qu’un programme de sécurité «complet» qui comprend une formation au cryptage et à la sécurité. Les clients auront accès à leurs données et pourront demander à Chegg de supprimer ces données.

L’entreprise ne ferait même pas le strict minimum pour protéger ses données.

Chegg n’est pas la seule entreprise avec laquelle la FTC s’est rangée pour des raisons de sécurité. En juillet dernier, Uber a conclu un accord avec le ministère de la Justice pour avoir omis d’informer les clients d’une violation majeure de la sécurité en 2016. Plus récemment, la Federal Trade Commission a sanctionné Drizley et son PDG pour des erreurs qui ont conduit à un incident à grande échelle en 2020. Le gouvernement américain veut empêcher de telles failles de sécurité, ou du moins minimiser les risques, et a l’intention de punir les entreprises qui ne prennent pas la sécurité au sérieux.

Dans le communiqué de presse, Chegg explique que la confidentialité des données est une « priorité ». La société a coopéré avec la FTC et « se conformera pleinement » aux demandes de la Commission. Elle ajoute qu’elle n’a pas reçu la moindre amende, ce qui, selon elle, serait la preuve qu’elle travaille à améliorer sa sécurité.