เว็บไซต์ช่วยเหลือการบ้าน Chegg ได้รั่วไหลข้อมูลผู้บริโภคที่มีความละเอียดอ่อนมากกว่าหนึ่งครั้งในปีก่อนหน้า เนื่องจากการรักษาความปลอดภัยที่ต่ำกว่าค่าเฉลี่ย ตามรายงานอย่างเป็นทางการ
ข้อความ (เปิดในแท็บใหม่) จากคณะกรรมาธิการการค้าแห่งสหพันธรัฐสหรัฐ (FTC) อ้างว่า Chegg รั่วไหลข้อมูลประจำตัวของผู้บริโภคมากกว่า 40 ล้านคน (เปิดในแท็บใหม่) ซึ่งเผยให้เห็นข้อสงสัยร้ายแรงเกี่ยวกับหลักปฏิบัติด้านความปลอดภัยทางไซเบอร์
FTC ระบุว่า Chegg สามารถหลีกเลี่ยงปัญหาเหล่านี้ส่วนใหญ่ได้หากเพียงปฏิบัติตามพื้นฐานของการปกป้องข้อมูลที่ละเอียดอ่อน นอกจากนี้ บริษัทยังล้มเหลวในการตรวจสอบเครือข่ายของตนอย่างเพียงพอสำหรับการพยายามเข้าถึงและการโจรกรรมข้อมูลโดยไม่ได้รับอนุญาต
เหตุการณ์สำคัญสี่ประการ
รายการค่าใช้จ่ายของ FTC รวมถึงการอ้างว่า Chegg ไม่ต้องการการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เพื่อเข้าถึงบัญชีของฐานข้อมูลคลาวด์ AWS S3, ข้อมูลส่วนบุคคลของผู้ใช้และพนักงานที่จัดเก็บไว้ในข้อความดิบ, รหัสผ่านที่ป้องกันด้วยฟังก์ชันแฮชที่เข้ารหัสลับที่ล้าสมัย, ล้มเหลว เพื่อให้การฝึกอบรมที่เพียงพอแก่พนักงานและผู้รับเหมา และล้มเหลวในการดำเนินกระบวนการเพื่อจัดทำสินค้าคงคลังและลบข้อมูลลูกค้าและพนักงานที่ไม่จำเป็นอีกต่อไป
โดยรวมแล้ว FTC ระบุเหตุการณ์ที่แยกจากกันสี่เหตุการณ์: สองเหตุการณ์ที่เกี่ยวข้องกับการเปิดเผยข้อมูลเงินเดือนต่อนักหลอกลวง หนึ่งเหตุการณ์เกี่ยวข้องกับการรั่วไหลของเนื้อหาที่เป็นความลับทางออนไลน์ และอีกเหตุการณ์หนึ่งที่บัญชีอีเมลของผู้บริหารถูกบุกรุก
ซึ่งรวมถึงเหตุการณ์ที่พนักงานตกเป็นเหยื่อการโจมตีแบบฟิชชิ่งและให้ผู้อื่นเข้าถึงข้อมูลการฝากเงินโดยตรงของพนักงานได้ โดยครั้งหนึ่งอดีตผู้รับเหมาใช้ข้อมูลการฝากเงินโดยตรงของพนักงาน AWS ID ของ Chegg เพื่อนำเนื้อหาที่ละเอียดอ่อนจาก S3 ตัวใดตัวหนึ่ง ฐานข้อมูลและรั่วไหลทางออนไลน์ในที่สุด โดยการโจมตีแบบฟิชชิ่งส่งผลให้กล่องจดหมายอีเมลของผู้บริหารเสียหาย และอีกกรณีหนึ่งคือผู้บริหารบัญชีเงินเดือนอาวุโสให้ผู้บุกรุกเข้าถึงระบบบัญชีเงินเดือนของบริษัท
เป็นผลให้ผู้โจมตีขโมยข้อมูล W-2 ของพนักงานปัจจุบันและอดีตประมาณ 700 คน รวมถึงวันเกิดและหมายเลขประกันสังคม
Chegg ยุติคดีกับ FTC โดยตกลงที่จะทบทวนแนวทางปฏิบัติในการปกป้องข้อมูลครั้งใหญ่ เหนือสิ่งอื่นใด บริษัทจะติดตามไทม์ไลน์ว่าข้อมูลส่วนบุคคลใดที่รวบรวม เหตุใดจึงรวบรวม และเมื่อใดจึงจะลบทิ้งในที่สุด