Chegg
美國聯邦交易委員會(Federal Trade Commission,FTC)近日投訴美國知名教育業者Chegg,指控Chegg的資料保護措施太過鬆散,自2017年3月至2020年1月間就發生4次的資料外洩事件,造成約4,000萬名的員工與客戶的資料外洩,因而命令Chegg必須加強資料安全機制。
成立於2005年的Chegg為美國知名的教育技術公司,主要提供實體與數位教科書的銷售與租賃,也提供線上輔導及其它學生服務,客戶為美國中學及大學學生,在2020年3月時,該公司擁有290萬名訂閱用戶。
然而,根據FTC的調查,Chegg的第一次資料外洩事件發生在2017年9月,當時有多名Chegg員工遭到網釣攻擊,而讓駭客存取了員工的薪轉帳戶資訊;繼之有一名Chegg的前任約聘人員透過Chegg與員工及約聘人員共享的登入憑證,存取了Chegg置放於第三方雲端資料庫,該資料庫存放了約4,000萬名客戶的客戶資訊,包括姓名、電子郵件地址與密碼等,還有某些用戶的獎學金資訊,包括生日、父母的收入、性向或殘疾等;再來又連續發生兩次的網釣攻擊,外洩了員工的醫療與金融資訊。
FTC認為,Chegg的資料保護措施過於鬆散,例如並未要求員工在登入第三方資料庫時採用多因素身分認證,或是允許員工與約聘人員使用同一個憑證存取這些資料庫,且並未監控其網路與資料庫的安全威脅;再者,Chegg在雲端是明文儲存所有個人資訊,而且是以過時的加密機制來保護用戶密碼;就算經歷了3次的網釣攻擊,Chegg依舊未制定充分的安全政策及員工訓練。Chegg一直到2021年1月才有正式的安全政策。
上述的資料外洩事件也造成Chegg的客戶資料在黑市被兜售。
於是FTC決定對Chegg祭出命令,雙方也已達成共識。FTC將要求Chegg制定個人資料的蒐集政策,允許客戶存取並刪除自己的資訊,啟用多因素認證機制,以及全面性地實施資訊安全計畫。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07