40 millioner brugerdata fra Cheggs ed tech i naturen

Chegg blev opmærksom på Federal Trade Commission for alvorlige sikkerhedsbrud. Virksomheden ville ikke engang gøre det absolutte minimum for at beskytte deres data.

Chegg er en amerikansk uddannelsesteknologivirksomhed med en stærk tilstedeværelse i USA. Federal Trade Commission (FTC) anlagde en retssag mod virksomheden og anklagede den for at forsømme sin sikkerhed, som siden 2017 kompromitterede en masse personlige data. Blandt brudene afslørede virksomheden angiveligt data fra 40 millioner brugere i 2018, efter at en tidligere entreprenør brugte sine legitimationsoplysninger til at få adgang til en tredjepartsdatabase. Navne, e-mailadresser, adgangskoder samt religion, seksuel orientering eller forældreindkomst vil blive solgt på det sorte marked.

Chegg blev opmærksom på FTC for alvorlige sikkerhedsbrud

FTC anklager også Chegg for at undlade at implementere “kommercielt rimelige” sikkerhedsforanstaltninger. Dette ville gøre det muligt for medarbejdere og entreprenører at bruge den samme konto uden at kræve tofaktorautentificering eller trusselsintelligens. Virksomheden delte personlige data i den klare og brugte “svage og forældede” kryptering til adgangskoder. Chegg ville heller ikke have en anstændig sikkerhedspolitik før januar 2021, og han får ikke nok sikkerhedstræning trods tre phishing-kampagner.

Ifølge FTC lovede Chegg at rette op på situationen. Virksomheden skal være specifik omkring de oplysninger, den indsamler og begrænse indsamlingen så meget som muligt. Det vil også implementere to-faktor autentificering samt et “omfattende” sikkerhedsprogram, der inkluderer kryptering og sikkerhedstræning. Kunder vil have adgang til deres data og kan bede Chegg om at slette disse data.

Virksomheden ville ikke engang gøre det absolutte minimum for at beskytte deres data.

Chegg er ikke det eneste firma, som FTC har stillet sig med over sikkerhedsproblemer. I juli sidste år indgik Uber et forlig med justitsministeriet for ikke at underrette kunderne om et større sikkerhedsbrud i 2016. Senest sanktionerede Federal Trade Commission Drizley og hans CEO for fejl, der førte til en storstilet hændelse i 2020. Den amerikanske regering ønsker at forhindre sådanne sikkerhedsbrud, eller i det mindste minimere risikoen, og har til hensigt at straffe virksomheder, der ikke tager sikkerhed alvorligt.

I pressemeddelelsen forklarer Chegg, at databeskyttelse er en “prioritet”. Virksomheden har samarbejdet med FTC og vil “fuldt ud efterkomme” Kommissionens anmodninger. Hun tilføjer, at hun ikke har fået den mindste bøde, hvilket hun siger ville være et bevis på, at hun arbejder på at forbedre sin sikkerhed.