Resmi bir rapora göre, ev ödevi yardım sitesi Chegg, ortalamanın altında güvenliği nedeniyle önceki yıllarda birden fazla kez hassas tüketici verilerini sızdırdı.
A İleti (yeni sekmede açılır) ABD Federal Ticaret Komisyonu’ndan (FTC), Chegg’in kimlik verilerini sızdırdığını iddia etti (yeni sekmede açılır) 40 milyondan fazla tüketici üzerinde, siber güvenlik uygulamaları konusunda ciddi şüpheler uyandırıyor.
FTC, Chegg’in hassas verilerin güvenliğini sağlamanın temellerini takip etmesi durumunda bu sorunların çoğundan kaçınabileceğini iddia etti. Ayrıca şirket, yetkisiz erişim ve veri hırsızlığı girişimlerine karşı ağlarını gerektiği gibi izlemedi.
Dört büyük olay
FTC suçlama listesi, Chegg’in AWS S3 bulut veritabanlarına hesap erişimi için çok faktörlü kimlik doğrulama (MFA) gerektirmediği, düz metin olarak saklanan kullanıcı ve çalışan kişisel bilgileri, güncel olmayan şifreleme karma işlevlerine sahip korumalı şifreler, çalışanlarına ve yüklenicilerine yeterli eğitimi vermemiş ve artık ihtiyaç duyulmayan müşteri ve çalışan verilerinin envanterlenmesi ve silinmesi için süreçler oluşturmamıştır.
Sonuç olarak, FTC dört ayrı olay sıraladı: ikisi bordro bilgilerinin dolandırıcılara ifşa edilmesini, biri hassas materyalin çevrimiçi olarak sızdırılmasını ve diğeri bir yöneticinin e-posta hesabının ele geçirildiğini içeriyor.
Bu, bir çalışanın bir kimlik avı saldırısına uğradığı ve birisinin çalışanların doğrudan mevduat bordro bilgilerine erişmesine izin verdiği, Chegg’in AWS kimlik bilgilerini kullanarak S3 veritabanlarından birinden hassas materyal alıp nihayetinde çevrimiçi sızdıran eski bir yüklenicinin, bir kimlik avı saldırısının bir yöneticinin e-posta gelen kutusunun ele geçirilmesiyle sonuçlandığı ve bordrodan sorumlu kıdemli bir çalışanın bir davetsiz misafirin şirketin bordro sistemine erişmesine izin verdiği bir saldırı.
Sonuç olarak, saldırgan doğum tarihleri ve Sosyal Güvenlik numaraları da dahil olmak üzere yaklaşık 700 mevcut ve eski çalışanın W-2 bilgilerini çaldı.
Chegg, veri koruma uygulamalarını kapsamlı bir şekilde yeniden yapılandırmayı kabul ederek FTC ile olan davasını çözdü. Diğer şeylerin yanı sıra şirket, topladığı kişisel veriler, neden topladığı ve nihai olarak ne zaman sileceği konusunda bir program izleyecek.
