40 миллионов пользовательских данных от Chegg’s ed tech в дикой природе

Чегг привлек внимание Федеральной торговой комиссии из-за серьезных нарушений безопасности. Компания не сделала бы даже самого минимума для защиты своих данных.

Chegg — американская образовательная технологическая компания с сильным присутствием в США. Федеральная торговая комиссия (FTC) подала иск против компании , обвинив ее в пренебрежении своей безопасностью, которая с 2017 года скомпрометировала множество персональных данных. Среди нарушений компания якобы раскрыла данные 40 миллионов пользователей в 2018 году после того, как бывший подрядчик использовал свои учетные данные для доступа к сторонней базе данных. Имена, адреса электронной почты, пароли, а также религия, сексуальная ориентация или родительский доход будут проданы на черном рынке.

Чегг попал в поле зрения FTC за серьезные нарушения безопасности

FTC также обвиняет Чегга в неспособности реализовать «коммерчески разумные» меры безопасности. Это позволит сотрудникам и подрядчикам использовать одну и ту же учетную запись, не требуя двухфакторной аутентификации или анализа угроз. Компания делилась личными данными в открытом виде и использовала «слабое и устаревшее» шифрование для паролей. У Чегга также не будет достойной политики безопасности до января 2021 года, и он не проходит достаточного обучения безопасности, несмотря на три фишинговые кампании.

По данным FTC, Чегг пообещал исправить ситуацию. Компания должна указывать конкретную информацию, которую она собирает, и максимально ограничивать ее сбор. Он также будет реализовывать двухфакторную аутентификацию, а также «комплексную» программу безопасности, которая включает в себя шифрование и обучение безопасности. Клиенты будут иметь доступ к своим данным и могут попросить Чегга удалить эти данные.

Компания не сделала бы даже самого минимума для защиты своих данных.

Chegg — не единственная компания, на стороне которой Федеральная торговая комиссия по вопросам безопасности. В июле прошлого года Uber достиг соглашения с Министерством юстиции за неуведомление клиентов о серьезном нарушении безопасности в 2016 году. Совсем недавно Федеральная торговая комиссия наложила санкции на Дризли и его генерального директора за ошибки, которые привели к крупномасштабному инциденту в 2020 году. Правительство США хочет предотвратить такие нарушения безопасности или, по крайней мере, свести к минимуму риск, и намерено наказывать компании, которые серьезно не относятся к безопасности.

В пресс-релизе Чегг объясняет, что конфиденциальность данных является «приоритетом». Компания сотрудничала с FTC и будет «полностью выполнять» запросы Комиссии. Она добавляет, что не получила ни малейшего штрафа, что, по ее словам, будет доказательством того, что она работает над повышением своей безопасности.