40 milionů uživatelských dat z Chegg’s ed tech ve volné přírodě

Chegg se dostal do pozornosti Federální obchodní komise kvůli vážnému narušení bezpečnosti. Společnost by pro ochranu jejich dat neudělala ani naprosté minimum.

Chegg je americká vzdělávací technologická společnost se silnou přítomností v USA. Federální obchodní komise (FTC) podala na společnost žalobu a obvinila ji ze zanedbávání její bezpečnosti, která od roku 2017 kompromitovala mnoho osobních údajů. Mezi porušeními společnost údajně odhalila data 40 milionů uživatelů v roce 2018 poté, co bývalý dodavatel použil své přihlašovací údaje k přístupu do databáze třetích stran. Jména, e-mailové adresy, hesla, stejně jako náboženství, sexuální orientace nebo příjem rodičů by se prodávaly na černém trhu.

Chegg byl upozorněn FTC za závažné porušení bezpečnosti

FTC také obviňuje Chegg z toho, že nezavedl „komerčně přiměřená“ bezpečnostní opatření. To by umožnilo zaměstnancům a dodavatelům používat stejný účet bez nutnosti dvoufaktorové autentizace nebo zpravodajství o hrozbách. Společnost sdílela osobní údaje v jasném a používaném „slabém a zastaralém“ šifrování hesel. Chegg by také neměl do ledna 2021 slušnou bezpečnostní politiku a navzdory třem phishingovým kampaním nezískal dostatečné bezpečnostní školení.

Podle FTC Chegg slíbil, že situaci napraví. Společnost musí být konkrétní ohledně informací, které shromažďuje, a co nejvíce omezit jejich shromažďování. Bude také implementovat dvoufaktorovou autentizaci a „komplexní“ bezpečnostní program, který zahrnuje šifrování a bezpečnostní školení. Zákazníci budou mít přístup ke svým datům a mohou požádat Chegg o smazání těchto dat.

Společnost by pro ochranu jejich dat neudělala ani naprosté minimum.

Chegg není jedinou společností, na jejíž stranu se FTC kvůli obavám o bezpečnost postavila. Loni v červenci se Uber dohodl s ministerstvem spravedlnosti za to, že neinformoval zákazníky o velkém narušení bezpečnosti v roce 2016. Naposledy Federální obchodní komise sankcionovala Drizleyho a jeho generálního ředitele za chyby, které vedly k rozsáhlému incidentu v roce 2020. Americká vláda chce takovému narušení bezpečnosti zabránit, nebo alespoň minimalizovat riziko, a hodlá trestat společnosti, které neberou bezpečnost vážně.

V tiskové zprávě Chegg vysvětluje, že soukromí dat je „prioritou“. Společnost spolupracovala s FTC a „plně vyhoví“ požadavkům Komise. Dodává, že nedostala sebemenší pokutu, což by byl podle ní důkaz toho, že pracuje na zlepšení své bezpečnosti.