Chegg, Inc., vende produtos e serviços educacionais diretamente para estudantes do ensino médio e universitários. Isso inclui aluguel de livros didáticos, orientação de clientes na busca por bolsas de estudo e oferta de aulas particulares online. Mas, de acordo com a FTC, as práticas negligentes de segurança da empresa de tecnologia educacional resultaram em quatro violações de dados distintas num período de apenas alguns anos, levando à apropriação indevida de informações pessoais sobre aproximadamente 40 milhões de consumidores. A reclamação da FTC e algumas disposições notáveis ​​​​no acordo proposto sugerem que é hora de um curso de atualização em segurança de dados na Chegg. Há lições que sua empresa pode aprender de onde a FTC afirma que Chegg não conseguiu se destacar?

No decorrer de seus negócios, a Chegg, com sede na Califórnia, coletou um tesouro de informações pessoais sobre muitos de seus clientes, incluindo afiliação religiosa, herança, data de nascimento, orientação sexual, deficiências e renda dos pais. Até mesmo o funcionário da Chegg responsável pela segurança cibernética descreveu os dados coletados como parte do serviço de busca de bolsas de estudo como “muito confidenciais”.

Um componente-chave da infraestrutura de tecnologia da informação da Chegg foi o Simple Storage Service (S3), um serviço de armazenamento em nuvem oferecido pela Amazon Web Services (AWS) que Chegg usou para armazenar uma quantidade substancial de dados de clientes e funcionários. Você vai querer ler a reclamação para obter detalhes, mas a FTC cita uma série de exemplos do que Chegg fez – e não fez – que eram indicativos das práticas de segurança negligentes da empresa. Por exemplo, a FTC alega que:

  • Chegg permitiu que funcionários e terceiros acessassem os bancos de dados S3 com uma única chave de acesso que fornecia privilégios administrativos totais sobre todas as informações.
  • Chegg não exigia autenticação multifator para acesso de conta aos bancos de dados S3.
  • Em vez de criptografar os dados, Chegg armazenou informações pessoais de usuários e funcionários em texto simples.
  • Até pelo menos abril de 2018, o Chegg “protegia” senhas com funções de hash criptográficas desatualizadas.
  • Até pelo menos abril de 2020, a Chegg não forneceu treinamento adequado em segurança de dados para funcionários e prestadores de serviços.
  • A Chegg não tinha processos em vigor para inventariar e excluir informações pessoais de clientes e funcionários, uma vez que não havia mais necessidade comercial de mantê-las.
  • Chegg não conseguiu monitorar adequadamente suas redes em busca de tentativas não autorizadas de entrada e transferência ilegal de dados confidenciais para fora de seu sistema.

Deveria ser uma surpresa que a denúncia também reconta quatro episódios distintos que levaram à exposição ilegal de informações pessoais? O incidente nº 1 resultou de funcionários da Chegg que caíram em um ataque de phishing que permitiu a um ladrão de dados acessar as informações da folha de pagamento de depósito direto dos funcionários. O incidente nº 2 envolveu um ex-contratado que usou a credencial AWS da Chegg para obter material confidencial de um dos bancos de dados S3 da empresa – informações que acabaram chegando a um site público.

Depois veio o Incidente nº 3: um ataque de phishing que atingiu um executivo sênior da Chegg e permitiu que o invasor contornasse o sistema de autenticação multifatorial de e-mail da empresa. Uma vez na caixa de e-mail do executivo, o invasor teve acesso a informações pessoais dos consumidores, incluindo informações financeiras e médicas. No Incidente nº 4, um funcionário sênior responsável pela folha de pagamento foi vítima de outro ataque de phishing, dando assim ao intruso acesso ao sistema de folha de pagamento da empresa. O intruso saiu com informações W-2 de aproximadamente 700 funcionários atuais e ex-funcionários, incluindo suas datas de nascimento e números de Seguro Social.

Em cada um dos quatro incidentes citados na denúncia, a FTC alega que Chegg não tomou medidas simples de precaução isso provavelmente teria ajudado a prevenir ou detectar a ameaça aos dados de consumidores e funcionários – por exemplo, exigindo que os funcionários fizessem treinamento em segurança de dados sobre os sinais reveladores de uma tentativa de phishing.

Para resolver o caso, a Chegg concordou com uma reestruturação abrangente das suas práticas de proteção de dados. Como parte do pedido proposto, a Chegg deve seguir um cronograma que define as informações pessoais que coleta, por que as coleta e quando irá excluir os dados. Além disso, a Chegg deve dar aos clientes acesso às informações coletadas sobre eles e atender às solicitações de exclusão desses dados. A Chegg também deve fornecer aos clientes e funcionários autenticação de dois fatores ou outro método de autenticação para ajudar a proteger suas contas. Assim que o pedido proposto aparecer no Registro Federal, a FTC aceitará comentários públicos por 30 dias.

O que outras empresas podem aprender com as lições da Chegg?

Tenha cuidado especial ao armazenar informações confidenciais. Depois que sua empresa tiver informações confidenciais em sua posse, você aumentará sua obrigação de mantê-las seguras. E uma vez que a empresa legítima precise manter a transmissão dos dados, as empresas com experiência em segurança descartam-nos com segurança. Mas talvez a questão preliminar seja se você realmente precisa desse tipo de dados confidenciais. Se você não coletá-lo, não precisará protegê-lo.

Limite o acesso a informações confidenciais. Um passe para os bastidores com acesso total parece ótimo quando sua banda favorita chega à cidade, mas é uma péssima ideia para gerenciar dados em sua empresa. Limite o acesso a funcionários e prestadores de serviços para os quais esses dados são um componente essencial do seu trabalho. Mas quando o projeto for concluído ou suas funções mudarem, interrompa seu acesso imediatamente.

Responda a incidentes de dados imediata e definitivamente. Teve Chegg seguiu os fundamentos descritos em Comece com segurança ou a orientação retirada de qualquer uma das ações de segurança de dados da FTC, a empresa poderia ter poupado alguns desses 40 milhões de consumidores da dor de cabeça de ter seus dados expostos em primeiro lugar. Mas passar por um incidente de segurança de dados – e certamente quatro incidentes de segurança de dados – deveria ter desencadeado uma revisão abrangente dos procedimentos da Chegg.

Realize treinamentos internos regulares de segurança. Como parte do seu processo de integração, eduque os novos funcionários e contratados sobre seus padrões de segurança. Faça o acompanhamento periodicamente com atualizações e novamente quando as ameaças e os riscos mudarem. Sabemos que o treinamento interno às vezes pode induzir revirar os olhos – culpamos aquelas horríveis tiras de filme das aulas de saúde do ensino médio – mas não há nenhuma lei que exija que o treinamento em segurança de dados seja chato. Sim, você deve envolver sua equipe de TI, mas também consultar pessoas criativas em sua empresa. Cores, vídeos, questionários, histórias IRL, etc., podem ajudar a envolver seu público. Você não precisa começar do zero. A FTC Recursos de segurança cibernética para pequenas empresas pode oferecer alguma inspiração.