En un incidente de 2018, un excontratista de Chegg obtuvo acceso a una de sus bases de datos en la nube de terceros, exponiendo información personal como nombres, direcciones de correo electrónico y contraseñas, además de la religión, la orientación sexual, las discapacidades y los ingresos de los padres de los estudiantes. Algunos de los datos robados se encontraron más tarde a la venta en línea. Los funcionarios también dijeron Chegg no tenía una política de seguridad escrita hasta enero de 2021 y no proporcionó suficiente capacitación en seguridad a sus empleados.
Los datos robados por un ex contratista de Chegg se encontraron más tarde para la venta en línea
Ahora, la FTC dice que, en todas las infracciones, las prácticas de ciberseguridad insuficientes de Chegg dieron como resultado la exposición de datos de aproximadamente 40 millones de usuarios. Chegg acordó cumplir con una orden propuesta de la FTC para mejorar la seguridad de sus datos, que hará que la empresa implemente la autenticación multifactor, brinde capacitación en seguridad a los empleados, cifre los datos de los usuarios y permita a los clientes acceder y eliminar sus datos de la plataforma.
En un comunicado entregado a Los New York Times, Chegg dijo que la privacidad de los datos era una prioridad principal para la empresa y que solo un pequeño porcentaje de los usuarios había proporcionado datos sobre su religión y orientación sexual como parte de una función de búsqueda de becas universitarias. “Chegg está totalmente comprometida con la protección de los datos de los usuarios y ha trabajado con organizaciones de privacidad acreditadas para mejorar nuestras medidas de seguridad y continuará con nuestros esfuerzos”, dice el comunicado.
“Chegg tomó atajos con la información confidencial de millones de estudiantes”, dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. “La orden de hoy requiere que la empresa refuerce las medidas de seguridad, ofrezca a los consumidores una manera fácil de eliminar sus datos y limite la recopilación de información en el front-end. La Comisión continuará actuando agresivamente para proteger los datos personales”.