美国联邦贸易委员会指责美国教育技术巨头 Chegg 的“粗心”网络安全做法导致数千万客户和员工的敏感信息泄露。
在周一提起的法律诉讼中,FTC 指控提供数字和实体教科书租赁和在线辅导的 Chegg 存在大量网络安全漏洞,导致 2017 年至 2020 年间发生四次单独的数据泄露事件。
例如,在 2018 年,一名前承包商访问了包含客户姓名、电子邮件地址、密码和其他敏感信息(包括宗教、性取向、残疾和父母收入范围)的数据库后, 黑客窃取了 4000 万条 Chegg 客户记录。根据 FTC 的投诉,Chegg 允许员工和第三方承包商使用单一访问密钥访问亚马逊托管的存储,该访问密钥提供对所有信息的完全管理权限。
Chegg 还经历了另外三起涉及成功针对 Chegg 员工的网络钓鱼攻击的数据泄露事件。这些攻击暴露了有关 Chegg 客户和员工的更多敏感数据,包括财务和医疗信息以及社会安全号码。
FTC 投诉称,这四次违规行为是数据安全实践不佳的结果,包括对所有受损数据库使用单一登录、缺乏多因素身份验证、以明文形式存储所有用户和员工的数据,以及未能监控网络中的恶意活动。
官员们还表示,Chegg 直到 2021 年 1 月才制定书面安全政策,尽管发生了 3 次网络钓鱼攻击,但未能提供足够的安全培训。
FTC 表示,Chegg 已同意采用全面的数据安全计划来解决这些指控,其中包括为员工提供安全培训和加密用户数据。 Chegg 还必须允许客户访问它收集的关于他们的个人信息——包括任何精确的位置数据或 IP 地址等永久标识符——并允许用户删除他们的记录。
“Chegg 在数百万学生的敏感信息上走捷径,”FTC 消费者保护局局长塞缪尔·莱文 (Samuel Levine) 说。 “今天的命令要求公司加强安全保障,为消费者提供删除数据的简便方法,并限制前端的信息收集。委员会将继续积极采取行动保护个人数据。”
Chegg 的通讯和政策副总裁 Marc Boxser 在征求意见时告诉 TechCrunch,Chegg “将完全遵守 FTC 的命令规定的任务”。
FTC 对 Chegg 的行动相当于对美国教育科技行业发出了更广泛的警告。早在 5 月,该机构就发布了一份政策声明,称计划打击从学童那里收集过多个人信息或未能保护学生个人信息的教育科技公司。
FTC 表示:“展望未来,委员会将密切审查这些服务的提供者,并在提供者未能履行其在儿童隐私方面的法律义务时毫不犹豫地采取行动。”
更新了 Chegg 的评论。
FTC 学校教育科技巨头 Chegg 对Carly Page最初发表在TechCrunch上的“粗心”网络安全做法
原文: https://techcrunch.com/2022/11/01/ftc-chegg-breaches-cybersecurity/