Puede confiar en Chegg con sus libros de texto o tutoría, pero los reguladores no tienen tanta confianza. La Comisión Federal de Comercio presentó una queja acusando al proveedor de tecnología educativa Chegg de prácticas de seguridad «descuidadas» que comprometieron datos personales desde 2017. Entre las violaciones, la compañía supuestamente expuso información confidencial de aproximadamente 40 millones de clientes en 2018 después de que un excontratista usó su inicio de sesión. para acceder a una base de datos de terceros. El contenido incluía nombres, direcciones de correo electrónico, contraseñas e incluso contenido como religión, orientación sexual y rangos de ingresos de los padres. La información finalmente apareció a la venta a través del mercado negro en línea.
Parte de la información robada pertenecía a los empleados. Chegg expuso números de Seguro Social, datos médicos y otros detalles de los trabajadores.
La FTC alega además que Chegg no usó salvaguardias «comercialmente razonables». Según se informa, permitió a los empleados y contratistas usar un inicio de sesión único, no requirió autenticación de múltiples factores y no buscó amenazas. La empresa almacenó datos personales en texto sin formato y se basó en un cifrado «anticuado y débil» para las contraseñas, agrega la Comisión. Los funcionarios también dicen que Chegg ni siquiera tenía una política de seguridad escrita hasta enero de 2021 y no proporcionó suficiente capacitación en seguridad a pesar de los tres ataques de phishing.
Chegg acordó honrar una orden propuesta para hacer las paces, dice la FTC. La empresa tendrá que definir la información que recopila y limitar el alcance de esa recopilación. Instituirá la autenticación de múltiples factores y un programa de seguridad «completo» que incluye capacitación en encriptación y seguridad. Los clientes tendrán acceso a sus datos y podrán pedirle a Chegg que elimine esos datos.
El proveedor no está solo frente a las medidas enérgicas del gobierno por problemas de seguridad. Uber llegó a un acuerdo con el Departamento de Justicia en julio por no notificar a los clientes sobre una importante violación de datos en 2016, mientras que la FTC sancionó recientemente a Drizly y a su director ejecutivo por supuestos errores que llevaron a un incidente en 2020. El gobierno claramente está ansioso por prevenir las filtraciones de datos y hacer un ejemplo de las empresas con medidas de seguridad por debajo de la media.
En una declaración a Engadget, Chegg dice que trata la privacidad de los datos como una «máxima prioridad». La empresa cooperó con la FTC y «cumplirá plenamente» con la orden de la Comisión. Agrega que no enfrentó ninguna multa y cree que esto es un reflejo de su postura de seguridad mejorada. Puede leer la respuesta completa a continuación.
«La privacidad de los datos es una prioridad principal para Chegg. Chegg trabajó en cooperación con la Comisión Federal de Comercio en estos asuntos para encontrar un resultado de mutuo acuerdo y cumplirá plenamente con los mandatos descritos en la Orden Administrativa de la Comisión. Los incidentes en la queja de la Comisión Federal de Comercio relacionados a problemas que ocurrieron hace más de dos años. No se impusieron multas monetarias, lo que creemos que es indicativo de nuestras sólidas prácticas de seguridad actuales, así como de nuestros esfuerzos para mejorar continuamente nuestro programa de seguridad. Chegg está totalmente comprometido con la protección de los datos de los usuarios y ha trabajado con organizaciones de privacidad de renombre para mejorar nuestras medidas de seguridad y continuará con nuestros esfuerzos».
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.