야생에서 Chegg의 에드 테크가 제공하는 4천만 명의 사용자 데이터

Chegg는 심각한 보안 위반으로 연방 무역 위원회의 주의를 끌었습니다. 회사는 데이터를 보호하기 위해 최소한의 조치도 취하지 않을 것입니다.

Chegg는 미국에 강력한 영향력을 가진 미국 교육 기술 회사입니다. FTC(Federal Trade Commission)는 2017년부터 많은 개인 데이터를 손상시킨 보안을 소홀히 했다고 회사를 상대로 소송을 제기했습니다 . 위반 중 회사는 전 계약자가 자신의 자격 증명을 사용하여 타사 데이터베이스에 액세스한 후 2018년에 4천만 명의 사용자 데이터를 노출한 것으로 알려졌습니다. 이름, 이메일 주소, 비밀번호, 종교, 성적 취향 또는 부모 소득은 암시장에서 판매될 것입니다.

Chegg는 심각한 보안 위반으로 FTC의 주의를 끌었습니다.

FTC는 또한 Chegg가 “상업적으로 합리적인” 보안 조치를 이행하지 못했다고 비난했습니다. 이를 통해 직원과 계약자는 이중 인증 또는 위협 인텔리전스 없이 동일한 계정을 사용할 수 있습니다. 회사는 개인정보를 투명하게 공유하고 있으며, 비밀번호는 “약하고 오래된” 암호화를 사용하고 있습니다. Chegg는 또한 2021년 1월까지 적절한 보안 정책을 갖지 못할 것이며 세 번의 피싱 캠페인에도 불구하고 충분한 보안 교육을 받지 못했습니다.

FTC에 따르면 체그는 상황을 바로잡겠다고 약속했다. 회사는 수집하는 정보에 대해 구체적이어야 하며 가능한 한 수집을 제한해야 합니다. 또한 암호화 및 보안 교육을 포함하는 “종합적인” 보안 프로그램뿐만 아니라 2단계 인증을 구현할 것입니다. 고객은 자신의 데이터에 액세스할 수 있으며 Chegg에 해당 데이터를 삭제하도록 요청할 수 있습니다.

회사는 데이터를 보호하기 위해 최소한의 조치도 취하지 않을 것입니다.

FTC가 보안 문제에 대해 편을 든 회사는 Chegg만이 아닙니다. 지난 7월 Uber는 2016년 주요 보안 위반에 대해 고객에게 알리지 않은 것에 대해 법무부와 합의에 도달했습니다. 가장 최근에 Federal Trade Commission은 Drizley와 그의 CEO가 2020년 대규모 사건으로 이어진 실수에 대해 제재를 가했습니다. 미국 정부는 이러한 보안 위반을 방지하거나 최소한 위험을 최소화하기를 원하며 보안을 심각하게 생각하지 않는 회사를 처벌할 계획입니다.

보도 자료에서 Chegg는 데이터 프라이버시가 “우선순위”라고 설명합니다. 회사는 FTC에 협조했으며 위원회의 요청을 “완전히 준수”할 것입니다. 그녀는 벌금을 조금도 받지 않았다고 덧붙이며, 이는 그녀가 자신의 안전을 개선하기 위해 노력하고 있다는 증거가 될 것이라고 말했습니다.