40 miljoner användardata från Cheggs ed tech i det vilda
Chegg kom till Federal Trade Commissions uppmärksamhet för allvarliga säkerhetsintrång. Företaget skulle inte ens göra ett minimum för att skydda sina data.
Chegg är ett amerikanskt företag inom utbildningsteknik med en stark amerikansk närvaro. Federal Trade Commission (FTC) lämnade in en stämningsansökan mot företaget och anklagade det för att försumma dess säkerhet, vilket sedan 2017 äventyrat många personuppgifter. Bland överträdelserna ska företaget ha avslöjat data från 40 miljoner användare under 2018, efter att en före detta entreprenör använde sina referenser för att komma åt en tredjepartsdatabas. Namn, e-postadresser, lösenord, samt religion, sexuell läggning eller föräldrars inkomster skulle säljas på den svarta marknaden.
Chegg uppmärksammades av FTC för allvarliga säkerhetsöverträdelser
FTC anklagar också Chegg för att inte genomföra ”kommersiellt rimliga” säkerhetsåtgärder. Detta skulle tillåta anställda och entreprenörer att använda samma konto utan att kräva tvåfaktorsautentisering eller hotintelligens. Företaget delade personlig information i den tydliga och använde ”svag och föråldrad” kryptering för lösenord. Chegg skulle inte heller ha en anständig säkerhetspolicy förrän i januari 2021, och han får inte tillräckligt med säkerhetsutbildning trots tre nätfiskekampanjer.
Enligt FTC lovade Chegg att fixa situationen. Företaget måste vara specifik om informationen som det samlar in och begränsa insamlingen så mycket som möjligt. Det kommer också att implementera tvåfaktorsautentisering samt ett ”omfattande” säkerhetsprogram som inkluderar kryptering och säkerhetsutbildning. Kunder kommer att ha tillgång till sina uppgifter och kan be Chegg att radera dessa uppgifter.
Företaget skulle inte ens göra ett minimum för att skydda sina data.
Chegg är inte det enda företaget som FTC har ställt sig på över säkerhetsproblem. I juli förra året nådde Uber en uppgörelse med justitiedepartementet för att ha misslyckats med att meddela kunder om ett större säkerhetsbrott 2016. Senast sanktionerade Federal Trade Commission Drizley och hans vd för misstag som ledde till en storskalig incident 2020. USA:s regering vill förhindra sådana säkerhetsintrång, eller åtminstone minimera risken, och avser att straffa företag som inte tar säkerheten på allvar.
I pressmeddelandet förklarar Chegg att datasekretess är en ”prioritet”. Företaget har samarbetat med FTC och kommer att ”fullständigt följa” kommissionens önskemål. Hon tillägger att hon inte har fått det minsta böter, vilket hon säger skulle vara ett bevis på att hon arbetar för att förbättra sin säkerhet.
Lämna ett svar