40 miljoni lietotāju datu no Chegg’s ed tech savvaļā

Čegs nonāca Federālās tirdzniecības komisijas uzmanības lokā par nopietniem drošības pārkāpumiem. Uzņēmums nedarītu pat pašu minimumu, lai aizsargātu savus datus.

Chegg ir amerikāņu izglītības tehnoloģiju uzņēmums ar spēcīgu ASV klātbūtni. Federālā tirdzniecības komisija (FTC) iesniedza prasību pret uzņēmumu , apsūdzot to drošības neievērošanā, kas kopš 2017. gada apdraud daudzus personas datus. Starp pārkāpumiem uzņēmums 2018. gadā, iespējams, atklāja 40 miljonu lietotāju datus pēc tam, kad kāds bijušais darbuzņēmējs izmantoja savus akreditācijas datus, lai piekļūtu trešās puses datubāzei. Vārdi, e-pasta adreses, paroles, kā arī reliģija, seksuālā orientācija vai vecāku ienākumi tiktu pārdoti melnajā tirgū.

Čegs nonāca FTC uzmanības lokā par nopietniem drošības pārkāpumiem

FTC arī apsūdz Chegg nespēju īstenot “komerciāli saprātīgus” drošības pasākumus. Tas ļautu darbiniekiem un darbuzņēmējiem izmantot vienu un to pašu kontu, neprasot divu faktoru autentifikāciju vai draudu izlūkošanu. Uzņēmums kopīgoja personas datus skaidrā un parolēm izmantoja “vāju un novecojušu” šifrēšanu. Čegam arī nebūtu pienācīgas drošības politikas līdz 2021. gada janvārim, un viņš nesaņem pietiekamu drošības apmācību, neskatoties uz trim pikšķerēšanas kampaņām.

Saskaņā ar FTC teikto, Čegs solīja situāciju labot. Uzņēmumam ir jābūt konkrētam attiecībā uz informāciju, ko tā vāc, un pēc iespējas jāierobežo vākšana. Tas arī ieviesīs divu faktoru autentifikāciju, kā arī “visaptverošu” drošības programmu, kas ietver šifrēšanas un drošības apmācību. Klienti varēs piekļūt saviem datiem un var lūgt Chegg dzēst šos datus.

Uzņēmums nedarītu pat pašu minimumu, lai aizsargātu savus datus.

Chegg nav vienīgais uzņēmums, ar kuru FTC ir nostājusies drošības apsvērumu dēļ. Pagājušā gada jūlijā Uber panāca izlīgumu ar Tieslietu departamentu par to, ka tas 2016. gadā neinformēja klientus par lielu drošības pārkāpumu. Pavisam nesen Federālā tirdzniecības komisija noteica Drizlijam un viņa izpilddirektoram sankcijas par kļūdām, kuru rezultātā 2020. gadā notika liela mēroga incidents. ASV valdība vēlas novērst šādus drošības pārkāpumus vai vismaz samazināt risku, un plāno sodīt uzņēmumus, kas neuztver drošību nopietni.

Paziņojumā presei Chegg paskaidro, ka datu privātums ir “prioritāte”. Uzņēmums ir sadarbojies ar FTC un “pilnībā izpildīs” Komisijas prasības. Viņa piebilst, ka nav saņēmusi ne mazāko sodu, kas, viņasprāt, būtu pierādījums tam, ka viņa strādā, lai uzlabotu savu drošību.