美國教育業者Chegg近年外洩4次用戶資料，遭FTC強制要求加強資料保護

美國聯邦交易委員會（Federal Trade Commission，FTC）近日投訴美國知名教育業者Chegg，指控Chegg的資料保護措施太過鬆散，自2017年3月至2020年1月間就發生4次的資料外洩事件，造成約4,000萬名的員工與客戶的資料外洩，因而命令Chegg必須加強資料安全機制。

成立於2005年的Chegg為美國知名的教育技術公司，主要提供實體與數位教科書的銷售與租賃，也提供線上輔導及其它學生服務，客戶為美國中學及大學學生，在2020年3月時，該公司擁有290萬名訂閱用戶。

然而，根據FTC的調查，Chegg的第一次資料外洩事件發生在2017年9月，當時有多名Chegg員工遭到網釣攻擊，而讓駭客存取了員工的薪轉帳戶資訊；繼之有一名Chegg的前任約聘人員透過Chegg與員工及約聘人員共享的登入憑證，存取了Chegg置放於第三方雲端資料庫，該資料庫存放了約4,000萬名客戶的客戶資訊，包括姓名、電子郵件地址與密碼等，還有某些用戶的獎學金資訊，包括生日、父母的收入、性向或殘疾等；再來又連續發生兩次的網釣攻擊，外洩了員工的醫療與金融資訊。

FTC認為，Chegg的資料保護措施過於鬆散，例如並未要求員工在登入第三方資料庫時採用多因素身分認證，或是允許員工與約聘人員使用同一個憑證存取這些資料庫，且並未監控其網路與資料庫的安全威脅；再者，Chegg在雲端是明文儲存所有個人資訊，而且是以過時的加密機制來保護用戶密碼；就算經歷了3次的網釣攻擊，Chegg依舊未制定充分的安全政策及員工訓練。Chegg一直到2021年1月才有正式的安全政策。

上述的資料外洩事件也造成Chegg的客戶資料在黑市被兜售。

於是FTC決定對Chegg祭出命令，雙方也已達成共識。FTC將要求Chegg制定個人資料的蒐集政策，允許客戶存取並刪除自己的資訊，啟用多因素認證機制，以及全面性地實施資訊安全計畫。