La Comisión Federal de Comercio de EE. UU. está obligando al proveedor de aplicaciones de tareas Chegg a renovar sus prácticas de ciberseguridad por no haber evitado cuatro violaciones de datos anteriores.
La FTC acusó(Se abre en una nueva ventana) Chegg de tomar «atajos con la información confidencial de millones de estudiantes», citando la postura «descuidada» de la compañía de California en materia de seguridad.
“La orden de hoy requiere que la empresa refuerce las salvaguardas de seguridad, ofrezca a los consumidores una manera fácil de eliminar sus datos y limite la recopilación de información en el front-end”, dice Samuel Levine, director de la oficina de protección al consumidor de la FTC.
Según la FTC, la empresa sufrió tres violaciones de datos por ataques de phishing exitosos contra empleados de Chegg en 2017, 2019 y 2020. “Estos ataques expusieron datos confidenciales sobre los empleados de Chegg, incluida información médica y financiera”, dice el regulador.
Además, Chegg no logró reforzar la seguridad de la empresa implementando la autenticación de múltiples factores para los inicios de sesión internos o requiriendo que los empleados se capacitaran para identificar las amenazas de phishing, agrega la FTC.
En 2018, el proveedor educativo también sufrió una infracción que involucró a un excontratista que robó datos de 40 millones de usuarios al explotar el hecho de que un inicio de sesión raíz para un servidor en la nube AWS de la empresa se había compartido ampliamente con empleados y contratistas. Los datos robados incluían nombres de usuario, direcciones de correo electrónico, fechas de nacimiento, rango de ingresos de los padres, orientación sexual y discapacidades de Chegg, y luego se encontraron disponibles en un foro en línea.
Según la FTC, Chegg no pudo proteger los datos confidenciales de sus usuarios incluso después del incidente. “Por ejemplo, Chegg continúa almacenando información personal del consumidor en texto sin formato en sus cubos AWS S3”, alega el regulador.
Recomendado por Nuestros Editores
En respuesta, la orden de la FTC exige que el proveedor educativo refuerce su enfoque de la ciberseguridad. Esto incluye proporcionar una acción de autenticación de múltiples factores tanto para usuarios como para empleados, implementar sistemas para monitorear el acceso a TI a través de la red de la empresa y exigir que los empleados reciban capacitación en seguridad de forma rutinaria.
En un comunicado, Chegg dijo que trabajó con la FTC en la orden de consentimiento. “Los incidentes en la denuncia de la Comisión Federal de Comercio se relacionaron con problemas que ocurrieron hace más de dos años. No se impusieron multas monetarias”, dijo la compañía. “Creemos que nuestras negociaciones positivas con la FTC son indicativas de nuestras sólidas prácticas de seguridad actuales, así como de nuestros esfuerzos para mejorar continuamente nuestro programa de seguridad. Chegg está totalmente comprometido con la protección de los datos de los usuarios y ha trabajado con organizaciones de privacidad acreditadas para mejorar nuestras medidas de seguridad y continuará con nuestros esfuerzos”.
La orden de la FTC significa que Chegg evita una multa significativa. Sin embargo, la comisión advierte que podría imponer multas civiles de hasta $46,517 por cada infracción si se descubre que Chegg infringe las normas de la FTC en el futuro. La semana pasada, la comisión también emitió una orden similar para el proveedor de bebidas alcohólicas Drizly por no haber evitado una filtración de datos en 2020.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.