ABD Federal Ticaret Komisyonu (FTC), 2017'den bu yana dört veri ihlalinde on milyonlarca müşteri ve çalışanın hassas bilgilerini açığa çıkardıktan sonra eğitim teknolojisi şirketi Chegg'e dava açtı.
Ajansın önerilen siparişi, Chegg'in veri güvenliğini artırmasını, kullanıcıların hesaplarını güvence altına almalarına, toplanan ve depolanan müşteri verilerini sınırlamalarına ve müşterilerin verilerine erişmesine ve silmelerine izin vermelerine yardımcı olmak için çok faktörlü kimlik doğrulama (MFA) uygulamasını gerektirecektir.
Pazartesi günü FTC Tüketici Koruma Bürosu direktörü Samuel Levine, "Chegg, milyonlarca öğrencinin hassas bilgileriyle kısayol aldı." Dedi.
"Bugünkü sipariş, şirketin güvenlik güvencelerini güçlendirmesini, tüketicilere verilerini silmek için kolay bir yol sunmasını ve ön uçtaki bilgi toplamasını sınırlamasını gerektiriyor. Komisyon, kişisel verileri korumak için agresif hareket etmeye devam edecek."
FTC'nin şikayetine göre Chegg, birden fazla çalışanı hedefleyen bir kimlik avı saldırısının ardından Eylül 2017'de ihlal edildi.
Nisan 2018'de, eski bir yüklenici milyonlarca kullanıcının verilerini içeren Chegg Amazon S3 kovalarına erişmek için giriş bilgileri kullandı. Veriler daha sonra çevrimiçi satış için bulundu ve yaklaşık 25 milyon şifre ile birlikte, şirketi 40 milyon kullanıcının şifrelerini sıfırlamaya zorladı.
Bir yıl sonra, bir Chegg yöneticisinin kimlik bilgileri bir kimlik avı saldırısında çalındıktan sonra, bir tehdit oyuncusu yönetici e -posta gelen kutusuna ve kullanıcıların ve çalışanların kişisel bilgilerine (finansal ve tıbbi bilgiler dahil) erişim kazandı.
12 ay sonra, başka bir Chegg çalışanı kimlik avına kurban düşerek saldırganların bordro sistemine erişmesine ve yüzlerce çalışanın W-2 bilgilerini (örneğin, doğum tarihi, sosyal güvenlik numaraları) çalmasına izin verdi.
FTC şikayeti, bu dört veri ihlalinin, MFA desteğinin eksikliği, tehlikeye atılan tüm veritabanları için tek bir giriş kullanımı ve izlememe gibi temel güvenlik önlemlerinin uygulanması da dahil olmak üzere birkaç kötü veri güvenliği uygulamasının sonucu olduğunu iddia ediyor. kötü niyetli etkinlik).
Chegg ayrıca, çalışanların ve müşterilerin hassas bilgilerini güvensiz olarak saklamak ve çalışanlarına ve yüklenicilere kimlik avı bilinci eğitimi vermemekle suçlanıyor.
FTC, "Bu başarısızlıkların bir sonucu olarak, Chegg'in eski yüklenicisi tarafından çalınan 40 milyon müşterisi hakkındaki verilerin bir kısmı daha sonra çevrimiçi satış için bulundu." Dedi.
"Chegg'in çalışanlarının tıbbi ve finansal verilerini korumaması özellikle sorunluydu, çünkü bu bilgi açık piyasada değerlidir ve kimlik hırsızlığı ve sahtekarlık yapmak için kullanılır."
GÜNCELLEME 31 Ekim, 15:49 EDT: Bir Chegg sözcüsü, makale yayınlandıktan sonra aşağıdaki güncellemeyi paylaştı:
Veri gizliliği Chegg için en önemli önceliktir. Chegg, karşılıklı olarak kabul edilebilir bir sonuç bulmak için bu konularda Federal Ticaret Komisyonu ile işbirliği içinde çalıştı ve Komisyonun idari kararında belirtilen görevlere tam olarak uyacaktır. Federal Ticaret Komisyonu'nun şikayetinde iki yıldan fazla bir süre önce meydana gelen sorunlarla ilgili olaylar. Hiçbir parasal para cezası değerlendirilmedi. FTC ile olumlu müzakerelerimizin mevcut sağlam güvenlik uygulamalarımızın ve güvenlik programımızı sürekli olarak geliştirme çabalarımızın bir göstergesi olduğuna inanıyoruz. Chegg, kullanıcıların verilerini korumaya kararlıdır ve güvenlik önlemlerimizi iyileştirmek için saygın gizlilik kuruluşlarıyla birlikte çalışmıştır ve çabalarımıza devam edecektir.
Yeni açık kaynaklı araç, sırlar için kamu aws s3 kovalarını tarar
Avustralya klinik laboratuvarları, fidye yazılımı saldırısında hasta verilerinin çalındığını söylüyor
Twilio, Haziran'dan itibaren başka bir hack'i açıklıyor, ses kimlik avını suçluyor
Medibank artık bilgisayar korsanlarının tüm müşterilerinin kişisel verilerine eriştiğini söylüyor
Bkz. Biletler 2,5 yıllık kredi kartı hırsızlığı ihlali açıklar
Kaynak: Bleeping Computer