美国联邦交易委员会(Federal Trade Commission,FTC)近日投诉美国知名教育企业Chegg,指控Chegg的资料保护措施太过松散,自2017年3月至2020年1月间就发生4次的资料外泄事件,造成约4,000万名的员工与客户的资料外泄,因而命令Chegg必须加强资料安全机制。
成立于2005年的Chegg为美国知名的教育技术公司,主要提供实体与数字教科书的销售与租赁,也提供线上辅导及其它学生服务,客户为美国中学及大学学生,在2020年3月时,该公司拥有290万名订阅用户。
然而,根据FTC的调查,Chegg的第一次资料外泄事件发生在2017年9月,当时有多名Chegg员工遭到网络钓鱼攻击,而让黑客访问了员工的薪转账户资讯;之后有一名Chegg的前任约聘人员通过Chegg与员工及约聘人员共享的登录凭证,访问了Chegg放置于第三方云计算数据库,该数据库存放了约4,000万名客户的客户资讯,包括姓名、电子邮件地址与密码等,还有某些用户的奖学金资讯,包括生日、父母的收入、性向或残疾等;再来又连续发生两次的网络钓鱼攻击,外泄了员工的医疗与金融资讯。
FTC认为,Chegg的资料保护措施过于松散,例如并未要求员工在登录第三方数据库时采用多因素身份认证,或是允许员工与约聘人员使用同一个凭证访问这些数据库,且并未监控其网络与数据库的安全威胁;再者,Chegg在云计算是明文存储所有个人资讯,而且是以过时的加密机制来保护用户密码;就算经历了3次的网络钓鱼攻击,Chegg依旧未制定充分的安全策略及员工训练。Chegg一直到2021年1月才有正式的安全策略。
上述的资料外泄事件也造成Chegg的客户资料在黑市被兜售。
于是FTC决定对Chegg祭出命令,双方也已完成共识。FTC将要求Chegg制定个人资料的搜集政策,允许客户访问并删除自己的资讯,激活多因素认证机制,以及全面性地实施资讯安全计划。