Chegg accusato di problemi di sicurezza persistenti e negligenti dalla Federal Trade Commission
Per garantire la protezione dei dati sensibili dei clienti, la Federal Trade Commission (FTC) ha proposto un'ordinanza generale contro Chegg, un'azienda di tutoraggio online e noleggio libri. L'ordinanza è stata emessa in risposta alle pratiche di sicurezza insoddisfacenti che hanno esposto i dati di milioni di clienti Chegg per diversi anni.
L'indagine della FTC ha rilevato quattro violazioni della sicurezza in Chegg, avvenute nel settembre 2017, aprile 2018, giugno 2019 e aprile 2020. Una di queste violazioni, nell'aprile 2018, ha visto un ex contractor di Chegg utilizzare credenziali di accesso legittime per accedere a un database cloud di terze parti contenente informazioni personali su circa 40 milioni di clienti.
Le informazioni personali esposte durante la violazione dell'aprile 2018 includevano nomi, indirizzi email, password e alcune informazioni sensibili sui premi di studio, come la data di nascita, la fascia di reddito dei genitori, l'orientamento sessuale e le disabilità.
L'ordinanza della FTC richiede a Chegg di istituire un programma di sicurezza delle informazioni che rispetti le misure di sicurezza previste dall'ordinanza entro 90 giorni. Questo programma comprenderà misure come l'offerta di autenticazione a più fattori a tutti gli utenti entro sei mesi e la conduzione di una valutazione della sicurezza di terze parti.
Chegg deve inoltre fornire una certificazione annuale da parte di un dirigente responsabile del programma di sicurezza dell'azienda e offrire ai consumatori un modo facile per eliminare i propri dati. La società si impegna a rispettare integralmente le disposizioni dell'ordinanza proposta, secondo un portavoce di Chegg.
È importante notare che Chegg non aveva una politica di sicurezza scritta e non forniva una formazione di sicurezza adeguata ai dipendenti e ai contractor fino a gennaio 2021. L'azienda è stata accusata di non aver affrontato i problemi di sicurezza despite having experienced these four security breaches between 2017 and 2020.
Le azioni della FTC contro Chegg mettono in evidenza l'importanza di solide pratiche di cybersecurity per le aziende che gestiscono i dati sensibili dei clienti. Gli stakeholder aziendali sono sempre più interessati a capire la logica dei rischi del proprio stack tecnologico, con un'attenzione particolare al fatto di essere o meno un obiettivo.
Il ruolo in evoluzione dei CISOs (Chief Information Security Officers) comporta una migliore comprensione e gestione dei rischi associati allo stack tecnologico dell'azienda. Nel caso di Chegg, sembra che una maggiore attenzione alla cybersecurity avrebbe potuto prevenire le violazioni dei dati che si sono verificate.
In una notizia correlata, la FTC ha imposto misure simili a Drizly nella scorsa settimana per le pratiche di sicurezza che hanno esposto i dati di circa 2,5 milioni di clienti. Le azioni della FTC contro Chegg e Drizly servono come promemoria per tutte le aziende di dare la priorità alla cybersecurity e proteggere le informazioni personali dei propri clienti.
Leggi anche:
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Informazioni sui programmi di Medicare e di trattamento con oppiacei (OTP)
- Prolungamento della durata di sopravvivenza per i pazienti con cancro al cervello sottoposti a terapia immunitaria intensiva
