Le site d'aide aux devoirs Chegg a divulgué des données sensibles sur les consommateurs à plus d'une occasion au cours des dernières années en raison de sa sécurité médiocre, selon un rapport officiel.
Un message (ouvre dans un nouvel onglet) de la Federal Trade Commission (FTC) des États-Unis affirme que Chegg a divulgué les données d'identité (ouvre dans un nouvel onglet) de plus de 40 millions de consommateurs, ce qui suscite de sérieux doutes quant à ses pratiques en matière de cybersécurité.
La FTC a affirmé que Chegg aurait pu éviter la plupart de ces problèmes s'il avait simplement suivi les bases de la protection des données sensibles. De plus, l'entreprise n'a pas non plus surveillé adéquatement ses réseaux pour les tentatives d'accès non autorisées et le vol de données.
quatre incidents majeurs
La liste des accusations de la FTC comprend des affirmations selon lesquelles Chegg n'avait pas besoin d'authentification multifacteur (MFA) pour accéder à son compte de bases de données cloud AWS S3, les informations personnelles des utilisateurs et des employés stockées en texte brut, les mots de passe protégés par des fonctions de hachage cryptographiques obsolètes, n'ont pas fourni les informations adéquates formation à ses employés et sous-traitants, et n'a pas mis en œuvre de processus pour inventorier et supprimer les données des clients et des employés qui n'étaient plus nécessaires.
Dans l'ensemble, la FTC a répertorié quatre incidents distincts : deux impliquant l'exposition d'informations sur la paie à des fraudeurs, un impliquant la fuite de documents confidentiels en ligne et un impliquant la compromission du compte de messagerie d'un dirigeant.
Cela comprenait une dans laquelle un employé est tombé dans le piège d'une attaque de phishing et a donné à quelqu'un l'accès aux informations de paie par dépôt direct de l'employé, une dans laquelle un ancien sous-traitant a utilisé les informations de paie par dépôt direct de l'employé AWS ID by Chegg pour prendre du matériel sensible de l'un de ses S3 bases de données et finalement les divulguer en ligne, une dans laquelle une attaque de phishing a compromis la boîte de réception d'un cadre, et une autre dans laquelle un cadre supérieur de la paie a donné à un intrus l'accès au système de paie de l'entreprise.
En conséquence, l'attaquant a volé des informations W-2 sur environ 700 employés actuels et anciens, y compris les dates de naissance et les numéros de sécurité sociale.
Chegg a réglé son cas avec la FTC en acceptant un examen majeur de ses pratiques de protection des données. Entre autres choses, l'entreprise suivra désormais un calendrier sur les données personnelles qu'elle collecte, pourquoi elle les collecte et quand elle les supprimera finalement.