La FTC demanda a Chegg por exponer los n√ļmeros de seguridad social y otros datos clave de millones de usuarios

La FTC demanda a Chegg por exponer los n√ļmeros de seguridad social y otros datos clave de millones de usuarios

Noticias IBL | Nueva York

La Comisi√≥n Federal de Comercio (FTC) demand√≥ la semana pasada al proveedor de tecnolog√≠a educativa Chegg, Inc (NYSE: CHGG) por “sus pr√°cticas de seguridad laxas que expusieron informaci√≥n confidencial sobre millones de sus clientes y empleados, incluidos n√ļmeros de seguro social, direcciones de correo electr√≥nico y contrase√Īas”.

“Estas pr√°cticas dieron como resultado cuatro violaciones de datos separadas en un lapso de solo unos a√Īos, lo que llev√≥ a la apropiaci√≥n indebida de informaci√≥n personal sobre aproximadamente 40 millones de consumidores”, afirma queja.

Un componente clave de la infraestructura de tecnología de la información de Chegg era Simple Storage Service (S3), un servicio de almacenamiento en la nube ofrecido por Amazon Web Services (AWS) que Chegg usaba para almacenar una cantidad sustancial de datos de clientes y empleados. La FTC alega que:

  • Chegg permiti√≥ a los empleados y contratistas externos acceder a las bases de datos de S3 con una sola clave de acceso que proporcionaba privilegios administrativos completos sobre toda la informaci√≥n.
  • Chegg no requer√≠a autenticaci√≥n multifactor para el acceso de la cuenta a las bases de datos S3.
  • En lugar de cifrar los datos, Chegg almacen√≥ la informaci√≥n personal de los usuarios y empleados en texto sin formato.
  • Hasta al menos abril de 2018, Chegg “proteg√≠a” las contrase√Īas con funciones hash criptogr√°ficas obsoletas.
  • Hasta al menos abril de 2020, Chegg no proporcion√≥ capacitaci√≥n adecuada sobre seguridad de datos para empleados y contratistas.
  • Chegg no contaba con procesos para inventariar y eliminar la informaci√≥n personal de los clientes y empleados una vez que ya no hab√≠a una necesidad comercial de mantenerla.
  • Chegg no supervis√≥ sus redes adecuadamente para detectar intentos no autorizados de infiltrarse y transferir ilegalmente datos confidenciales fuera de su sistema.

En cada uno de los cuatro incidentes citados en la demanda, la FTC alega que Chegg no tomó medidas de precaución simples que probablemente habrían ayudado a prevenir o detectar la amenaza a los datos de consumidores y empleados, por ejemplo, exigir a los empleados que tomaran capacitación en seguridad de datos en el signos reveladores de un intento de phishing.

La FTC sugiere realizar capacitaciones de seguridad internas periódicas y proporciona Cybersecurity for Small Business resources para inspirarte.

Ganancias del tercer trimestre de 2022 de Chegg

Por otro lado, Chegg anunci√≥ esta semana su las ganancias del tercer trimestre, que muestran una disminuci√≥n del 4 % a√Īo tras a√Īo en los ingresos netos, a $164,7 millones, una disminuci√≥n del 4 % a√Īo tras a√Īo.