La FTC demanda a Chegg por exponer los n煤meros de seguridad social y otros datos clave de millones de usuarios

La FTC demanda a Chegg por exponer los n煤meros de seguridad social y otros datos clave de millones de usuarios

Noticias IBL | Nueva York

La Comisi贸n Federal de Comercio (FTC) demand贸 la semana pasada al proveedor de tecnolog铆a educativa Chegg, Inc (NYSE: CHGG) por “sus pr谩cticas de seguridad laxas que expusieron informaci贸n confidencial sobre millones de sus clientes y empleados, incluidos n煤meros de seguro social, direcciones de correo electr贸nico y contrase帽as”.

“Estas pr谩cticas dieron como resultado cuatro violaciones de datos separadas en un lapso de solo unos a帽os, lo que llev贸 a la apropiaci贸n indebida de informaci贸n personal sobre aproximadamente 40 millones de consumidores”, afirma queja.

Un componente clave de la infraestructura de tecnolog铆a de la informaci贸n de Chegg era Simple Storage Service (S3), un servicio de almacenamiento en la nube ofrecido por Amazon Web Services (AWS) que Chegg usaba para almacenar una cantidad sustancial de datos de clientes y empleados. La FTC alega que:

  • Chegg permiti贸 a los empleados y contratistas externos acceder a las bases de datos de S3 con una sola clave de acceso que proporcionaba privilegios administrativos completos sobre toda la informaci贸n.
  • Chegg no requer铆a autenticaci贸n multifactor para el acceso de la cuenta a las bases de datos S3.
  • En lugar de cifrar los datos, Chegg almacen贸 la informaci贸n personal de los usuarios y empleados en texto sin formato.
  • Hasta al menos abril de 2018, Chegg “proteg铆a” las contrase帽as con funciones hash criptogr谩ficas obsoletas.
  • Hasta al menos abril de 2020, Chegg no proporcion贸 capacitaci贸n adecuada sobre seguridad de datos para empleados y contratistas.
  • Chegg no contaba con procesos para inventariar y eliminar la informaci贸n personal de los clientes y empleados una vez que ya no hab铆a una necesidad comercial de mantenerla.
  • Chegg no supervis贸 sus redes adecuadamente para detectar intentos no autorizados de infiltrarse y transferir ilegalmente datos confidenciales fuera de su sistema.

En cada uno de los cuatro incidentes citados en la demanda, la FTC alega que Chegg no tom贸 medidas de precauci贸n simples que probablemente habr铆an ayudado a prevenir o detectar la amenaza a los datos de consumidores y empleados, por ejemplo, exigir a los empleados que tomaran capacitaci贸n en seguridad de datos en el signos reveladores de un intento de phishing.

La FTC sugiere realizar capacitaciones de seguridad internas peri贸dicas y proporciona Cybersecurity for Small Business resources para inspirarte.

Ganancias del tercer trimestre de 2022 de Chegg

Por otro lado, Chegg anunci贸 esta semana su las ganancias del tercer trimestre, que muestran una disminuci贸n del 4 % a帽o tras a帽o en los ingresos netos, a $164,7 millones, una disminuci贸n del 4 % a帽o tras a帽o.