La Federal Trade Commission (FTC) ha presentato una denuncia che accusa il fornitore di tecnologia per l’istruzione Chegg di pratiche di sicurezza “negligenti” che hanno compromesso i dati personali dal 2017. Tra le violazioni, l’azienda avrebbe esposto le informazioni sensibili di circa 40 milioni di clienti nel 2018, dopo che un ex appaltatore ha utilizzato il loro login per accedere a un database di terze parti. Il contenuto comprendeva nomi, indirizzi e-mail, password e persino contenuti come religione, orientamento sessuale e fasce di reddito dei genitori. Alla fine le informazioni sono state messe in vendita sul mercato nero online. Alcune delle informazioni rubate appartenevano a dipendenti. Chegg ha esposto numeri di previdenza sociale, dati medici e altri dettagli dei lavoratori.
La FTC sostiene inoltre che Chegg non ha utilizzato misure di salvaguardia “commercialmente ragionevoli”. Secondo quanto riferito, ha lasciato che i dipendenti e gli appaltatori utilizzassero un unico accesso, non ha richiesto l’autenticazione a più fattori e non ha effettuato la scansione delle minacce. L’azienda ha memorizzato i dati personali in chiaro e si è affidata a una crittografia “obsoleta e debole” per le password, aggiunge la Commissione. I funzionari affermano inoltre che Chegg non aveva nemmeno una politica di sicurezza scritta fino al gennaio 2021 e non ha fornito una formazione sufficiente sulla sicurezza nonostante tre attacchi di phishing.
Secondo la FTC, Chegg ha accettato di onorare un ordine proposto per fare ammenda. L’azienda dovrà definire le informazioni che raccoglie e limitare la portata di tale raccolta. Istituirà l’autenticazione a più fattori e un programma di sicurezza “completo” che comprende la crittografia e la formazione sulla sicurezza. I clienti avranno accesso ai loro dati e potranno chiedere a Chegg di cancellarli. L’azienda non è l’unica ad aver affrontato un giro di vite da parte del governo statunitense per problemi di sicurezza. A luglio Uber ha patteggiato con il Dipartimento di Giustizia per non aver notificato ai clienti un’importante violazione dei dati del 2016, mentre la FTC ha recentemente sanzionato Drizly e il suo amministratore delegato per presunte lacune che hanno portato a un incidente del 2020. Da tutto questo si evince che il governo degli Stati Uniti è chiaramente desideroso di prevenire le violazioni dei dati e di dare un esempio alle aziende con misure di sicurezza inferiori alla media.