40 miljoen gebruikersgegevens van Chegg’s ed tech in het wild

Chegg kwam onder de aandacht van de Federal Trade Commission wegens ernstige inbreuken op de beveiliging. Het bedrijf zou niet eens het absolute minimum doen om hun gegevens te beschermen.

Chegg is een Amerikaans onderwijstechnologiebedrijf met een sterke aanwezigheid in de VS. De Federal Trade Commission (FTC) spande een rechtszaak aan tegen het bedrijf en beschuldigde het van het verwaarlozen van de beveiliging, die sinds 2017 veel persoonlijke gegevens in gevaar bracht. Onder de inbreuken zou het bedrijf de gegevens van 40 miljoen gebruikers in 2018 hebben vrijgegeven, nadat een voormalige contractant zijn inloggegevens had gebruikt om toegang te krijgen tot een database van derden. Namen, e-mailadressen, wachtwoorden, maar ook religie, seksuele geaardheid of ouderlijk inkomen zouden op de zwarte markt worden verkocht.

Chegg kwam onder de aandacht van de FTC wegens ernstige beveiligingsschendingen

De FTC beschuldigt Chegg ook van het niet implementeren van “commercieel redelijke” beveiligingsmaatregelen. Hierdoor zouden werknemers en contractanten hetzelfde account kunnen gebruiken zonder dat er tweefactorauthenticatie of bedreigingsinformatie nodig is. Het bedrijf deelde persoonlijke gegevens op een open manier en gebruikte “zwakke en verouderde” versleuteling voor wachtwoorden. Chegg zou ook pas in januari 2021 een fatsoenlijk beveiligingsbeleid hebben en hij krijgt ondanks drie phishing-campagnes niet genoeg beveiligingstraining.

Volgens de FTC beloofde Chegg de situatie op te lossen. Het bedrijf moet specifiek zijn over de informatie die het verzamelt en de verzameling zo veel mogelijk beperken. Het zal ook tweefactorauthenticatie implementeren, evenals een “uitgebreid” beveiligingsprogramma met codering en beveiligingstraining. Klanten hebben toegang tot hun gegevens en kunnen Chegg vragen om die gegevens te verwijderen.

Het bedrijf zou niet eens het absolute minimum doen om hun gegevens te beschermen.

Chegg is niet het enige bedrijf waar de FTC de kant van heeft gekozen vanwege beveiligingsproblemen. Afgelopen juli bereikte Uber een schikking met het ministerie van Justitie voor het niet informeren van klanten over een grote inbreuk op de beveiliging in 2016. Meest recentelijk heeft de Federal Trade Commission Drizley en zijn CEO gesanctioneerd voor fouten die hebben geleid tot een grootschalig incident in 2020. De Amerikaanse overheid wil dergelijke inbreuken op de beveiliging voorkomen, of in ieder geval het risico minimaliseren, en is van plan bedrijven te straffen die beveiliging niet serieus nemen.

In het persbericht legt Chegg uit dat gegevensprivacy een “prioriteit” is. Het bedrijf heeft samengewerkt met de FTC en zal “volledig voldoen” aan de verzoeken van de Commissie. Ze voegt eraan toe dat ze niet de minste boete heeft gekregen, wat volgens haar het bewijs zou zijn dat ze werkt aan het verbeteren van haar veiligheid.