Chegg の ED テクノロジーから得られた 4,000 万件のユーザー データ

Chegg は重大なセキュリティ侵害で連邦取引委員会の注目を集めました。同社はデータを保護するための最低限のことさえ行わないでしょう。

Chegg は、米国で強い存在感を示す米国の教育テクノロジー企業です。米連邦取引委員会（FTC）は、2017年以来多くの個人データが侵害されたとして、同社がセキュリティを無視したとして訴訟を起こした。侵害の中には、2018年に元請負業者が自分の資格情報を使用してサードパーティのデータベースにアクセスした後、同社は4,000万人のユーザーのデータを漏洩したとされている。名前、電子メール アドレス、パスワード、さらには宗教、性的指向、親の収入などが闇市場で販売されることになります。

Chegg は重大なセキュリティ違反で FTC の注目を集めました

FTCはまた、チェッグ社が「商業的に合理的な」セキュリティ対策を講じなかったとして非難している。これにより、従業員と請負業者は 2 要素認証や脅威インテリジェンスを必要とせずに同じアカウントを使用できるようになります。同社は個人データを平文で共有し、パスワードには「弱くて時代遅れの」暗号化を使用しました。また、Chegg 氏は 2021 年 1 月までまともなセキュリティ ポリシーを持たず、3 回のフィッシング キャンペーンにもかかわらず十分なセキュリティ トレーニングを受けていません。

FTCによると、チェッグ氏は状況を解決すると約束したという。当社は収集する情報を明確にし、収集を可能な限り制限する必要があります。また、二要素認証のほか、暗号化やセキュリティトレーニングを含む「包括的な」セキュリティプログラムも導入する予定だ。顧客は自分のデータにアクセスできるようになり、Chegg にそのデータを削除するよう依頼することができます。

同社はデータを保護するための最低限のことさえ行わないでしょう。

セキュリティ上の懸念を理由にFTCが味方している企業はChegg社だけではない。ウーバーは昨年7月、2016年の重大なセキュリティ侵害について顧客への通知を怠ったとして司法省と和解に達した。つい最近、米連邦取引委員会は、2020年に大規模な事件につながったミスを理由にドリズリー氏とそのCEOを制裁した。米国政府は、このようなセキュリティ侵害を防ぐか、少なくともリスクを最小限に抑えたいと考えており、セキュリティに真剣に取り組んでいない企業を罰するつもりです。

Chegg 氏はプレスリリースの中で、データプライバシーが「優先事項」であると説明しています。同社はFTCに協力しており、同委員会の要求に「完全に従う」つもりだ。彼女は、ほんの少しの罰金も受けていないと付け加え、これは彼女が安全性の向上に努めている証拠になるだろうと彼女は言う。