40 milijonų naudotojų duomenų iš Chegg’s ed tech laukinėje gamtoje

Chegg pateko į Federalinės prekybos komisijos dėmesį dėl rimtų saugumo pažeidimų. Bendrovė nepadarytų net būtino minimumo, kad apsaugotų savo duomenis.

„Chegg“ yra Amerikos švietimo technologijų įmonė, turinti stiprią veiklą JAV. Federalinė prekybos komisija (FTC) pateikė ieškinį bendrovei , kaltindama ją nepaisant jos saugumo, dėl kurios nuo 2017 m. buvo pažeista daug asmens duomenų. Tarp pažeidimų bendrovė tariamai atskleidė 40 milijonų vartotojų duomenis 2018 m., kai buvęs rangovas pasinaudojo savo įgaliojimais pasiekti trečiosios šalies duomenų bazę. Vardai, elektroninio pašto adresai, slaptažodžiai, taip pat religija, seksualinė orientacija ar tėvų pajamos būtų parduodami juodojoje rinkoje.

Cheggas pateko į FTC dėmesį dėl rimtų saugumo pažeidimų

FTC taip pat kaltina Cheggą neįgyvendinus „komerciniu požiūriu pagrįstų“ saugumo priemonių. Tai leistų darbuotojams ir rangovams naudoti tą pačią paskyrą nereikalaujant dviejų veiksnių autentifikavimo ar grėsmės žvalgybos. Bendrovė dalijosi asmens duomenimis aiškiai ir naudojo „silpną ir pasenusį“ slaptažodžių šifravimą. Cheggas taip pat neturės tinkamos saugumo politikos iki 2021 m. sausio mėn. ir jis negauna pakankamai saugumo mokymų, nepaisant trijų sukčiavimo kampanijų.

Pasak FTC, Cheggas pažadėjo ištaisyti situaciją. Bendrovė turi būti konkreti apie renkamą informaciją ir kiek įmanoma apriboti rinkimą. Ji taip pat įgyvendins dviejų veiksnių autentifikavimą, taip pat „išsamią“ saugos programą, apimančią šifravimo ir saugumo mokymus. Klientai turės prieigą prie savo duomenų ir gali paprašyti „Chegg“ ištrinti tuos duomenis.

Bendrovė nepadarytų net būtino minimumo, kad apsaugotų savo duomenis.

„Chegg“ nėra vienintelė įmonė, kuriai FTC pritarė dėl saugumo problemų. Praėjusių metų liepą „Uber“ susitarė su Teisingumo departamentu dėl to, kad 2016 m. nepranešė klientams apie didelį saugumo pažeidimą. Neseniai Federalinė prekybos komisija skyrė sankcijas Drizley ir jo generaliniam direktoriui už klaidas, dėl kurių 2020 m. įvyko didelio masto incidentas. JAV vyriausybė nori užkirsti kelią tokiems saugumo pažeidimams arba bent jau sumažinti riziką ir ketina nubausti įmones, kurios į saugumą nežiūri rimtai.

Pranešime spaudai Chegg paaiškina, kad duomenų privatumas yra „prioritetas“. Bendrovė bendradarbiavo su FTC ir „visiškai įvykdys“ Komisijos prašymus. Ji priduria, kad negavo nė menkiausios baudos, kuri, jos teigimu, būtų įrodymas, kad ji stengiasi pagerinti savo saugumą.