Сайт помощи с домашними заданиями Chegg обвиняется в утечке пользовательских данных
2 ноября 2022 г.Согласно официальному отчету, на сайте Chegg, посвященном домашним заданиям, не раз происходила утечка конфиденциальных данных потребителей из-за неудовлетворительного уровня безопасности.
A сообщение Федеральной торговой комиссии США (FTC) утверждает, что Чегг слил личность данные о более чем 40 миллионах потребителей, что вызывает серьезные сомнения в его методах кибербезопасности.
FTC заявила, что Chegg мог бы избежать большинства этих проблем, если бы просто следовал основам защиты конфиденциальных данных. Более того, компания также не контролировала должным образом свои сети на предмет попыток несанкционированного доступа и кражи данных.
Четыре крупных инцидента
Список обвинений FTC включает утверждения о том, что Chegg не требовала многофакторной аутентификации (MFA) для доступа аккаунта к своим облачным базам данных AWS S3, сохраненной личной информации пользователей и сотрудников в виде простого текста, защитил пароли с помощью устаревших криптографических хеш-функций, не провел надлежащего обучения своих сотрудников и подрядчиков, а также не настроил процессы инвентаризации и удаления клиентов и данные сотрудников, которые больше не нужны.
В общем, FTC перечислила четыре отдельных инцидента: два связаны с раскрытием информации о заработной плате мошенникам, один с утечкой конфиденциальных материалов в Интернете и еще один, когда была взломана учетная запись электронной почты руководителя.
> Что такое фишинг и насколько он опасен? В том числе один случай, когда сотрудник стал жертвой фишинговой атаки и предоставил кому-либо доступ к информации о платежной ведомости сотрудников, а также случай, когда бывший подрядчик, который использовал учетные данные AWS Чегга, взял конфиденциальные материалы из одной из своих баз данных S3 и в конечном итоге сделал утечку в Интернете, в одном из них фишинговая атака привела к компрометации почтового ящика руководителя, а в другом старший сотрудник, ответственный за расчет заработной платы, предоставил злоумышленнику доступ к системе расчета заработной платы компании. В результате, Злоумышленник украл информацию W-2 примерно о 700 нынешних и бывших сотрудниках, включая даты рождения и номера социального страхования. Чегг урегулировал спор с Федеральной торговой комиссией США, согласившись полностью реструктурировать свои методы защиты данных. Помимо прочего, теперь компания будет следовать графику сбора персональных данных, а также причин их сбора и окончательного удаления.
> Фишинговые атаки становятся все более изощренными
> Познакомьтесь с лучшими брандмауэрами прямо сейчас