FTC

米国連邦取引委員会 (FTC) は、2017 年以降に発生した 4 件のデータ侵害で数千万人の顧客と従業員の機密情報が流出したとして、教育テクノロジー企業 Chegg を訴えました。

代理店の提案された命令は、データセキュリティを強化し、多要素認証(MFA)を実装してユーザーがアカウントを保護し、収集および保存された顧客データを制限し、顧客がデータにアクセスして削除できるようにすることを Chegg に要求するものです。

「Chegg は何百万人もの学生の機密情報を簡単に手に入れました」と FTC の消費者保護局長である Samuel Levine 氏は月曜日に述べました。

「本日の命令により、会社はセキュリティ保護を強化し、消費者にデータを簡単に削除する方法を提供し、フロントエンドでの情報収集を制限する必要があります。委員会は、個人データを保護するために積極的に行動し続けます。」

3年間で4回の違反

FTC の訴状によると、Chegg は 2017 年 9 月に複数の従業員を標的としたフィッシング攻撃に続いて初めて侵害されました。

2018 年 4 月、元請負業者がログイン情報を使用して、何百万人ものユーザーのデータを含む Chegg Amazon S3 バケットにアクセスしました。その後、データは約 2,500 万の平文のパスワードとともにオンラインで販売されていることが判明したため、同社は 4,000 万人のユーザーのパスワードをリセットせざるを得なくなりました。

1 年後、Chegg の幹部の認証情報がフィッシング攻撃で盗まれた後、攻撃者が幹部の電子メールの受信トレイと、ユーザーと従業員の個人情報 (財務情報や医療情報を含む) にアクセスできるようになりました。

さらに 12 か月後、別の Chegg 従業員がフィッシングの被害に遭い、攻撃者が給与システムにアクセスして、何百人もの従業員の W-2 情報 (生年月日、社会保障番号など) を盗むことができました。

FTC チェッグのツイート

不十分なデータセキュリティ

FTC の訴状では、これら 4 件のデータ侵害は、多要素認証のサポートの欠如、侵害されたすべてのデータベースに対して 1 回のログインの使用、および監視の欠如などの基本的なセキュリティ対策を実施する Chegg の失敗を含む、いくつかの不十分なデータ セキュリティ慣行の結果であると主張しています。

Chegg はまた、従業員と顧客の機密情報を安全でない方法で保管し、従業員と請負業者にフィッシング認識トレーニングを提供していないと非難されています。

「これらの失敗の結果、元請負業者によって盗まれた Chegg の 4000 万人の顧客に関するデータの一部が、後にオンラインで販売されていることが判明しました」と FTC は述べています。

「Chegg が従業員の医療および財務データを保護できなかったことは特に問題でした。この情報は公開市場で価値があり、個人情報の盗難や詐欺に使用されるからです。」