40 milionów danych użytkowników z technologii Chegg’s ed w środowisku naturalnym
Chegg zwrócił uwagę Federalnej Komisji Handlu z powodu poważnych naruszeń bezpieczeństwa. Firma nie zrobiłaby nawet absolutnego minimum, aby chronić swoje dane.
Chegg to amerykańska firma zajmująca się technologiami edukacyjnymi, silnie obecna w USA. Federalna Komisja Handlu (FTC) złożyła pozew przeciwko firmie , zarzucając jej zaniedbanie bezpieczeństwa, które od 2017 roku naraziło na szwank wiele danych osobowych. Wśród naruszeń firma rzekomo ujawniła dane 40 milionów użytkowników w 2018 r., po tym, jak były kontrahent wykorzystał swoje dane uwierzytelniające, aby uzyskać dostęp do bazy danych strony trzeciej. Imiona i nazwiska, adresy e-mail, hasła, a także wyznanie, orientację seksualną czy dochody rodziców byłyby sprzedawane na czarnym rynku.
Chegg zwrócił uwagę FTC z powodu poważnych naruszeń bezpieczeństwa
FTC oskarża również Chegga o niewdrożenie „uzasadnionych handlowo” środków bezpieczeństwa. Umożliwiłoby to pracownikom i wykonawcom korzystanie z tego samego konta bez konieczności uwierzytelniania dwuskładnikowego lub analizy zagrożeń. Firma udostępniała dane osobowe w sposób wyraźny i stosowała „słabe i przestarzałe” szyfrowanie haseł. Chegg nie miałby również przyzwoitej polityki bezpieczeństwa do stycznia 2021 r. I nie przeszedł wystarczającego szkolenia w zakresie bezpieczeństwa pomimo trzech kampanii phishingowych.
Według FTC Chegg obiecał naprawić sytuację. Firma musi dokładnie określać gromadzone przez siebie informacje i ograniczać ich gromadzenie w jak największym stopniu. Wdroży również uwierzytelnianie dwuskładnikowe, a także „kompleksowy” program bezpieczeństwa, który obejmuje szyfrowanie i szkolenia z zakresu bezpieczeństwa. Klienci będą mieli dostęp do swoich danych i mogą poprosić firmę Chegg o usunięcie tych danych.
Firma nie zrobiłaby nawet absolutnego minimum, aby chronić swoje dane.
Chegg nie jest jedyną firmą, z którą FTC opowiedziało się w kwestiach bezpieczeństwa. W lipcu ubiegłego roku Uber osiągnął porozumienie z Departamentem Sprawiedliwości w związku z niepowiadomieniem klientów o poważnym naruszeniu bezpieczeństwa w 2016 r. Ostatnio Federalna Komisja Handlu ukarała Drizleya i jego dyrektora generalnego za błędy, które doprowadziły do incydentu na dużą skalę w 2020 r. Rząd USA chce zapobiegać takim naruszeniom bezpieczeństwa lub przynajmniej minimalizować ryzyko i zamierza karać firmy, które nie traktują bezpieczeństwa poważnie.
W komunikacie prasowym Chegg wyjaśnia, że prywatność danych jest „priorytetem”. Firma współpracowała z FTC i „w pełni zastosuje się” do żądań Komisji. Dodaje, że nie otrzymała nawet najmniejszej kary, co jej zdaniem byłoby dowodem na to, że pracuje nad poprawą swojego bezpieczeństwa.
Dodaj komentarz