Várias violações de dados sugerem que a empresa de tecnologia da ED Chegg não fez sua lição de casa, alega a FTC

A Chegg, Inc., vende produtos e serviços educacionais diretamente para estudantes do ensino médio e universitários. Isso inclui alugar livros didáticos, orientar os clientes em sua busca por bolsas de estudo e oferecer aulas de aulas on -line. Mas, de acordo com a FTC, as práticas de segurança LAX da empresa de tecnologia de Ed resultou em quatro violações de dados separadas em um período de apenas alguns anos, levando à apropriação indevida de informações pessoais sobre aproximadamente 40 milhões de consumidores. A reclamação da FTC e algumas disposições notáveis ​​no acordo proposto sugerem que é hora de um curso de atualização de segurança de dados no CHEGG. Existem lições que sua empresa pode aprender com onde a FTC diz que Chegg não conseguiu fazer a nota?

No curso de seus negócios, a Chegg, com sede na Califórnia, coletou um tesouro de informações pessoais sobre muitos de seus clientes, incluindo sua afiliação religiosa, patrimônio, data de nascimento, orientação sexual, deficiências e renda dos pais. Até o funcionário da CHEGG encarregado da segurança cibernética descreveu os dados coletados como parte de seu serviço de busca de bolsas de estudo como “muito sensível”.

Um componente -chave da infraestrutura de tecnologia da informação da CHEGG foi o Simple Storage Service (S3), um serviço de armazenamento em nuvem oferecido pela Amazon Web Services (AWS) que o CHEGG usou para armazenar uma quantidade substancial de dados de clientes e funcionários. Você deseja ler a reclamação para os detalhes, mas a FTC cita vários exemplos do que Chegg fez – e não fez – que eram indicativos das práticas de segurança do LAX da empresa. Por exemplo, a FTC alega que:

  • A CHEGG permitiu que os funcionários e contratados de terceiros acessem os bancos de dados S3 com uma única chave de acesso que forneceu privilégios administrativos completos sobre todas as informações.
  • O CHEGG não exigiu autenticação multifatorial para acesso à conta aos bancos de dados S3.
  • Em vez de criptografar os dados, o CHEGG armazenou as informações pessoais dos usuários e funcionários em texto simples.
  • Até pelo menos abril de 2018, o CHEGG “protegiu” senhas com funções desatualizadas de hash criptográfico.
  • Até pelo menos abril de 2020, o CHEGG não forneceu treinamento adequado para segurança de dados para funcionários e contratados.
  • O CHEGG não possuía processos para inventário e excluir as informações pessoais dos clientes e funcionários, uma vez que não havia mais uma necessidade de negócios para mantê -las.
  • A CHEGG não monitorou suas redes adequadamente para tentativas não autorizadas de se esgueirar e transferir ilegalmente dados confidenciais para fora de seu sistema.

Deveria surpreender que a denúncia também relacione quatro episódios separados que levaram à exposição ilegal de informações pessoais? O incidente nº 1 decorreu dos funcionários da CHEGG que se apaixonam por um ataque de phishing que permitiu um acesso ao ladrão de dados às informações da folha de pagamento de depósito direto dos funcionários. O incidente nº 2 envolveu um ex -contratado que usou a credencial da AWS da CHEGG para obter material sensível de um dos bancos de dados S3 da empresa – informações que finalmente encontraram seu caminho para um site público.

Então veio o incidente nº 3: um ataque de phishing que recebeu um executivo sênior do CHEGG e permitiu ao intruso contornar o sistema de autenticação por e -mail multifactor da empresa. Uma vez na caixa de e -mail do executivo, o intruso teve acesso a informações pessoais sobre os consumidores, incluindo informações financeiras e médicas. No incidente nº 4, um funcionário sênior responsável pela folha de pagamento se apaixonou por outro ataque de phishing, dando assim ao invasor acesso ao sistema de folha de pagamento da empresa. O intruso deixou com as informações do W-2 de aproximadamente 700 funcionários atuais e ex-funcionários, incluindo suas datas de nascimento e números de seguridade social.

Em cada um dos quatro incidentes citados na denúncia, a FTC alega que Chegg não conseguiu tomar medidas simples de precaução Isso provavelmente ajudaria a prevenir ou detectar a ameaça aos dados do consumidor e dos funcionários – por exemplo, exigindo que os funcionários façam treinamento em segurança de dados sobre os sinais reveladores de uma tentativa de phishing.

Para resolver o caso, o CHEGG concordou com uma reestruturação abrangente de suas práticas de proteção de dados. Como parte do pedido proposto, o CHEGG deve seguir um cronograma que define as informações pessoais que coleta, por que coleta as informações e quando ele excluirá os dados. Além disso, o CHEGG deve fornecer aos clientes acesso às informações coletadas sobre eles e a honra de solicitações para excluir esses dados. O CHEGG também deve fornecer aos clientes e funcionários autenticação de dois fatores ou outro método de autenticação para ajudar a proteger suas contas. Depois que a ordem proposta aparecer no Federal Register, a FTC aceitará comentários públicos por 30 dias.

O que outras empresas podem aprender com as lições de Chegg?

Exercite cuidados especiais ao armazenar informações confidenciais. Depois que sua empresa tiver informações confidenciais em sua posse, você aumentou a aposta em sua obrigação de mantê -las seguras. E uma vez que os negócios legítimos precisam manter que os dados foram aprovados, as empresas com segurança com segurança descartam isso com segurança. Mas talvez a pergunta preliminar seja se você realmente precisa desse tipo de dados confidenciais em primeiro lugar. Se você não o coletar, não precisa protegê -lo.

Limite o acesso a informações confidenciais. Um passe para todos os bastidores parece uma explosão quando sua banda favorita chega à cidade, mas é uma ideia terrível para gerenciar dados em sua empresa. Limite o acesso a funcionários e contratados para os quais esses dados são um componente essencial de seu trabalho. Mas quando o projeto terminar ou suas tarefas mudarem, corte seu acesso imediatamente.

Responda aos incidentes de dados imediatamente e definitivamente. Tinha Chegg seguiu os fundamentos descritos em Comece com segurança Ou a orientação de takeaway de qualquer número de ações de segurança de dados da FTC, a empresa pode ter poupado alguns desses 40 milhões de consumidores a dor de cabeça de ter seus dados expostos em primeiro lugar. Mas experimentar um incidente de segurança de dados – e certamente quatro incidentes de segurança de dados – deve ter desencadeado uma revisão abrangente dos procedimentos da CHEGG.

Realize treinamento regular de segurança interno. Como parte do seu processo de integração, eduque novos funcionários e contratados sobre seus padrões de segurança. Acompanhe periodicamente com a atualização e novamente quando as ameaças e riscos mudaram. Às vezes, sabemos que o treinamento interno pode induzir rolos oculares-culpamos essas terríveis tiras de filmes da aula de saúde do ensino médio-mas não há lei exigindo que o treinamento em segurança de dados seja chato. Sim, você deve envolver sua equipe de TI, mas também consultar pessoas criativas em sua empresa. Cor, vídeo, testes, histórias de IRL, etc., podem ajudar a envolver seu público. Você não precisa começar do zero. Os FTCs Segurança cibernética para recursos de pequenas empresas pode oferecer alguma inspiração.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

Somos especialistas em propriedades de TV: eis o que realmente está colocando os compradores de sua casa

5 minutos atrás

‘Um bilhão de pessoas que o apoiam’: quando Musk voltou a Trump, ele se envolveu na China | Elon Musk

17 minutos atrás

O Great America da Six Flags California espera fechar no final da temporada de 2027

31 minutos atrás

G7 mais uma vez colocou os lucros das empresas multinacionais no interesse das pessoas | Joseph Stiglitz, José Antonio Ocamo e Jayati Ghosh

38 minutos atrás
Botão Voltar ao Topo