FTC afferma che la società di tecnologia ed elettronica Chegg ha esposto i dati di 40 milioni di utenti

Puoi fidarti di Chegg con i tuoi libri di testo o tutoraggio, ma le autorità di regolamentazione non sono così sicure. La Federal Trade Commission ha depositato a rimostranza accusando il fornitore di tecnologia per l’istruzione Chegg di pratiche di sicurezza “incuranti” che hanno compromesso i dati personali dal 2017. Tra le violazioni, la società avrebbe esposto informazioni sensibili per circa 40 milioni di clienti nel 2018 dopo che un ex appaltatore ha utilizzato il proprio login per accedere a un database di terze parti. Il contenuto includeva nomi, indirizzi e-mail, password e persino contenuti come religione, orientamento sessuale e fasce di reddito dei genitori. Le informazioni alla fine sono state vendute attraverso il mercato nero online.

Alcune delle informazioni rubate appartenevano ai dipendenti. Chegg ha rivelato i numeri di previdenza sociale, i dati medici e altri dettagli sui lavoratori.

La FTC sostiene inoltre che Chegg non abbia utilizzato garanzie “commercialmente ragionevoli”. Secondo quanto riferito, ha consentito a dipendenti e appaltatori di utilizzare un unico accesso, non richiedeva l’autenticazione a più fattori e non eseguiva la scansione delle minacce. L’azienda ha archiviato i dati personali in testo normale e ha fatto affidamento su una crittografia “obsoleta e debole” per le password, aggiunge la Commissione. I funzionari affermano inoltre che Chegg non aveva nemmeno una politica di sicurezza scritta fino a gennaio 2021 e non ha fornito una formazione sulla sicurezza sufficiente nonostante tre attacchi di phishing.

Chegg ha accettato di onorare un ordine proposto per fare ammenda, afferma la FTC. L’azienda dovrà definire le informazioni che raccoglie e limitare l’ambito di tale raccolta. Istituirà l’autenticazione a più fattori e un programma di sicurezza “completo” che include la crittografia e la formazione sulla sicurezza. I clienti avranno accesso ai propri dati e potranno chiedere a Chegg di eliminare tali dati.

Il provider non è il solo ad affrontare le repressioni del governo per problemi di sicurezza. Uber si è accordato con il Dipartimento di Giustizia a luglio per non aver notificato ai clienti una grave violazione dei dati del 2016, mentre la FTC ha recentemente penalizzato Drizly e il suo CEO per presunte mancanze che hanno portato a un incidente nel 2020. Il governo è chiaramente desideroso di prevenire le violazioni dei dati e fare un esempio di aziende con misure di sicurezza inferiori alla media.

In una dichiarazione a Engadget, Chegg afferma di trattare la privacy dei dati come una “priorità assoluta”. La società ha collaborato con la FTC e “rispetterà pienamente” l’ordine della Commissione. Aggiunge che non ha subito alcuna multa e ritiene che questo rifletta la sua migliore posizione di sicurezza. Puoi leggere la risposta completa di seguito.

“La privacy dei dati è una priorità assoluta per Chegg. Chegg ha collaborato con la Federal Trade Commission su queste questioni per trovare un risultato reciprocamente accettabile e rispetterà pienamente i mandati delineati nell’ordine amministrativo della Commissione. Gli incidenti nella denuncia della Federal Trade Commission sono relativi a problemi che si sono verificati più di due anni fa. Non sono state valutate sanzioni pecuniarie, che riteniamo siano indicative delle nostre attuali solide pratiche di sicurezza, nonché dei nostri sforzi per migliorare continuamente il nostro programma di sicurezza. Chegg è totalmente impegnata a salvaguardare i dati degli utenti e ha collaborato con rinomate organizzazioni per la privacy per migliorare le nostre misure di sicurezza e continuerà i nostri sforzi”.

Tutti i prodotti consigliati da Engadget sono selezionati dalla nostra redazione, indipendente dalla nostra casa madre. Alcune delle nostre storie includono link di affiliazione. Se acquisti qualcosa tramite uno di questi link, potremmo guadagnare una commissione di affiliazione. Tutti i prezzi sono corretti al momento della pubblicazione.

Leave a Comment