美国联邦贸易委员会 (FTC) 在自 2017 年以来遭受的四次数据泄露事件中暴露了数千万客户和员工的敏感信息后,已起诉教育技术公司 Chegg。
该机构提议的命令将要求 Chegg 加强数据安全,实施多因素身份验证 (MFA) 以帮助用户保护他们的账户,限制收集和存储的客户数据,并允许客户访问和删除他们的数据。
美国联邦贸易委员会消费者保护局局长塞缪尔莱文周一表示:“Chegg 在数百万学生的敏感信息上走捷径。”
“今天的命令要求公司加强安全保障,为消费者提供删除数据的简便方法,并限制前端的信息收集。委员会将继续积极采取行动保护个人数据。”
三年内四次违规
根据 FTC 的投诉,Chegg 在针对多名员工的网络钓鱼攻击后于 2017 年 9 月首次遭到入侵。
2018 年 4 月,一名前承包商使用登录信息访问了包含数百万用户数据的 Chegg Amazon S3 存储桶。后来发现这些数据在网上出售,其中包括大约 2500 万个明文密码,这迫使该公司重置了 4000 万用户的密码。
一年后,在 Chegg 高管的凭据在一次网络钓鱼攻击中被盗后,攻击者获得了对高管电子邮件收件箱以及用户和员工的个人信息(包括财务和医疗信息)的访问权限。
又过了 12 个月,另一名 Chegg 员工成为网络钓鱼的受害者,攻击者可以访问工资系统并窃取数百名员工的 W-2 信息(例如,出生日期、社会安全号码)。
不良的数据安全实践
FTC 投诉称,这四次数据泄露事件是由于几个糟糕的数据安全实践造成的,包括 Chegg 未能实施基本安全措施,例如缺乏 MFA 支持、对所有受损数据库使用单一登录,以及未监控恶意活动)。
Chegg 还被指控不安全地存储员工和客户的敏感信息,并且未能为其员工和承包商提供网络钓鱼意识培训。
“由于这些失败,有关 Chegg 的 4000 万客户的一些数据被其前承包商窃取,后来被发现在网上出售,”FTC 表示。
“Chegg 未能保护其员工的医疗和财务数据尤其成问题,因为这些信息在公开市场上很有价值,并被用来进行身份盗窃和欺诈。”
美国东部时间 10 月 31 日 15:49 更新: Chegg 发言人在文章发表后分享了以下更新:
数据隐私是 Chegg 的重中之重。Chegg 在这些问题上与联邦贸易委员会合作,以找到双方都同意的结果,并将完全遵守委员会行政命令中概述的任务。联邦贸易委员会投诉中的事件与两年多前发生的问题有关。没有评估任何罚款。我们相信,我们与 FTC 的积极谈判表明了我们当前强大的安全实践,以及我们不断改进安全计划的努力。Chegg 完全致力于保护用户的数据,并与知名的隐私组织合作以改进我们的安全措施,并将继续努力。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Chegg在三年内遭受四次数据泄露后被FTC起诉
