Chegg messo in guardia dalla FTC per problemi di sicurezza dei dati persistenti e negligenti
In un movimento finalizzato a potenziare la sicurezza dei dati, la Federal Trade Commission (FTC) ha emesso un ordine contro Chegg, un'azienda di tutoraggio online e noleggio libri, a causa delle scarse pratiche di sicurezza dell'azienda. L'ordine della FTC arriva in risposta al fallimento di Chegg nel risolvere i problemi di sicurezza dei dati nonostante abbia subito quattro violazioni della sicurezza tra il 2017 e il 2020.
Secondo la FTC, Chegg ha archiviato i dati personali sui database di archiviazione cloud in testo normale con debole crittografia almeno fino al 2018. Durante la violazione di aprile 2018, un ex contractor di Chegg ha utilizzato credenziali di accesso legittime per accedere a un database cloud di terze parti contenente informazioni personali su circa 40 milioni di clienti. Le informazioni personali esposte includevano nomi, indirizzi email e password crittografate.
La violazione della sicurezza più diffusa e dannosa ha esposto i dati sensibili delle borse di studio, tra cui data di nascita, fascia di reddito dei genitori, orientamento sessuale e disabilità. Alcuni dei dati rubati dall'ex contractor di Chegg sono stati successivamente trovati in vendita online.
L'ordine della FTC contro Chegg richiede all'azienda di istituire un programma di sicurezza delle informazioni che si conformi alle misure di sicurezza entro 90 giorni. Il programma deve includere misure per limitare la raccolta di informazioni sulla parte anteriore, chiarire quali dati Chegg raccoglie, perché li raccoglie e quando li cancellerà.
Chegg deve inoltre conformarsi a una valutazione della sicurezza di terze parti e fornire una certificazione annuale da parte di un dirigente senior responsabile del programma di sicurezza dell'azienda. L'azienda deve cancellare i dati non necessari, consentire ai clienti di accedere ai dati raccolti su di loro e presentare richieste a Chegg per cancellare quei dati.
Inoltre, Chegg deve offrire ai consumatori un modo facile per cancellare i loro dati e fornire l'autenticazione a più fattori a tutti gli utenti entro sei mesi, come richiesto dalla FTC. La FTC ha imposto misure simili a Drizly la scorsa settimana per le pratiche di sicurezza che hanno esposto i dati di circa 2,5 milioni di clienti.
Un portavoce di Chegg ha dichiarato che la maggior parte dei requisiti del programma di sicurezza delle informazioni è già parte delle loro operazioni e che saranno in conformità con qualsiasi parte rimanente entro i termini previsti nell'ordine. È importante notare che Chegg non aveva una politica di sicurezza scritta o forniva una formazione di sicurezza adeguata ai dipendenti e ai contractor fino a gennaio 2021.
Tre delle violazioni hanno comportato attacchi di phishing che sono riusciti a prendere di mira i dipendenti. La FTC ha segnalato quattro violazioni della sicurezza di Chegg che si sono verificate nel settembre 2017, aprile 2018, giugno 2019 e aprile 2020.
In conclusione, l'ordine della FTC contro Chegg rappresenta un passo significativo per potenziare la sicurezza dei dati e proteggere le informazioni personali dei consumatori. Il rispetto di Chegg dell'ordine stabilirà un precedente per altre aziende che devono priorizzare la sicurezza dei dati e implementare misure robuste per proteggere le informazioni dei loro clienti.
Leggi anche:
- Capitale europea dell'imprenditorialità giovanile al Gen-E Festival 2025 ad Atene
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Informazioni sui programmi di Medicare e di trattamento con oppiacei (OTP)
