El sitio de ayuda con la tarea Chegg ha filtrado datos confidenciales de los consumidores en más de una ocasión en años anteriores debido a su seguridad por debajo de la media, declaró un informe oficial.
Una publicación (se abre en una pestaña nueva) de la Comisión Federal de Comercio de EE. UU. (FTC) afirma que Chegg filtró datos de identidad (se abre en una pestaña nueva) en más de 40 millones de consumidores, arrojando serias dudas sobre sus prácticas de ciberseguridad.
La FTC afirmó que Chegg podría haber evitado la mayoría de estos problemas si simplemente hubiera seguido los conceptos básicos de protección de datos confidenciales. Además, la empresa tampoco supervisó adecuadamente sus redes en busca de intentos de acceso no autorizado y robo de datos.
Cuatro incidentes importantes
La lista de acusaciones de la FTC incluye las afirmaciones de que Chegg no requirió la autenticación multifactor (MFA) para el acceso de la cuenta a sus bases de datos en la nube de AWS S3, almacenó información personal de usuarios y empleados en texto sin formato, contraseñas protegidas con funciones hash criptográficas obsoletas, no no brindó capacitación adecuada a sus empleados y contratistas, y no estableció procesos para inventariar y eliminar datos de clientes y empleados que ya no eran necesarios.
En total, la FTC enumeró cuatro incidentes separados: dos relacionados con la exposición de la información de la nómina a los estafadores, uno con la filtración de material confidencial en línea y otro en el que se comprometió la cuenta de correo electrónico de un ejecutivo.
Esto incluyó uno en el que un empleado cayó en un ataque de phishing y le dio a alguien acceso a la información de nómina de depósito directo de los empleados, uno en el que un excontratista que usó las credenciales de AWS de Chegg para tomar material confidencial de una de sus bases de datos S3 y finalmente filtrarlo en línea, uno en el que un ataque de phishing resultó en el compromiso de la bandeja de entrada de correo electrónico de un ejecutivo, y otro en el que un empleado senior responsable de la nómina le dio acceso a un intruso al sistema de nómina de la empresa.
Como resultado, el atacante robó información W-2 sobre unos 700 empleados actuales y anteriores, incluidas fechas de nacimiento y números de Seguro Social.
Chegg resolvió su caso con la FTC al aceptar reestructurar integralmente sus prácticas de protección de datos. Entre otras cosas, la compañía ahora seguirá un cronograma para los datos personales que recopila, por qué los recopila y cuándo los eliminará en última instancia.