Chegg skuffer igen: En tredje dataovertrædelse på tre år
Den 28. april indrømmede det amerikanske uddannelsesteknologiselskab Chegg, at det havde lidt et dataovertrædelse. I et brev, der blev sendt til berørte personer, meddelte Dana Jewell, Cheggs vicepræsident, at den 9. april kompromitterede en hacker virksomhedens systemer og begyndte at registrere med omkring 700 nuværende og tidligere ansatte.
Chegg lærte om bruddet en dag senere, og det informerede straks retshåndhævelse. Dana Jewell opfordrede potentielle ofre til at være mere årvågen, fortalte dem, at de kan drage fordel af kreditovervågningstjenester på virksomhedens bekostning og lovede, at Chegg vil forsøge at forbedre dets beskyttelsesforanstaltninger og undgå lignende hændelser i fremtiden. Det er langt fra den største eller mest effektive overtrædelse, du nogensinde vil se, men når du undersøger det mere detaljeret, vil du bemærke, at problemet er mere markant, end det ser ud i starten.
Table of Contents
Chegg er uvillig til åbent at tale om overtrædelsen
Hver dag lækkes data fra millioner af mennesker på internettet, og i lyset af dette ser bare 700 ansatte som en blink i panden. Sæt imidlertid nummeret i en sammenhæng, så ser du, at overtrædelsen er ret betydelig. I henhold til Cheggs seneste årsrapport havde virksomheden i slutningen af 2019 godt 1400 ansatte, hvilket pludselig gør lækagen temmelig mere alvorlig. Som allerede nævnt fungerer nogle af de mennesker, der er berørt af sidste måneds angreb, ikke mere for Chegg, men det er stadig, at virksomheden har undladt at beskytte deres data mod uautoriseret adgang.
Spørgsmålet om, hvordan dette skete, og hvorfor forbliver ubesvaret. Chegg har ikke afsløret overtrædelsen i en lovgivningsmæssig arkivering, og der er ingen pressemeddelelse. TechCrunchs anmodninger om yderligere kommentarer blev også afvist.
Den brede offentlighed ville ikke være opmærksom på angrebet, hvis det ikke var for regler, der dikterer, at virksomheder, der er blevet ramt af hackere, skal dele deres dataovertrædelsesmeddelelser med Attorneys General i nogle stater. Antallet af berørte personer er faktisk relativt lille, men som et offentligt selskab har Chegg aktionærer, der gerne vil vide nøjagtigt, hvad der foregår på et givet tidspunkt. De er måske ikke meget tilfredse med detaljerne omkring netop dette brud.
Hackerne stjal Social Security Numbers
Du har måske bemærket, at Chegg tilbyder gratis kreditovervågningstjenester til potentielle ofre, og de af jer, der har læst nok dataovertrædelsesmeddelelser, ved, at dette er et dårligt tegn. Det betyder normalt, at dataene er følsomme nok til at lette identitetstyveri, og sikker nok, ifølge meddelelsen, cyberkriminelle begyndte med de berørte medarbejders navne og personnummer.
Chegg er ikke fremmed for dataovertrædelser
I dette særlige angreb blev Cheggs brugere ikke berørt, men dette var ikke tilfældet under tidligere overtrædelser. Flertalsformen af "overtrædelse" er ikke en skrivefejl. Chegg led sit første angreb i april 2018, men lærte det først fem måneder senere i september. Antallet af berørte brugere udgjorde 40 millioner, og de lækkede data omfattede e-mails, fysiske adresser og hashede adgangskoder.
I 2019 annoncerede også Thinkful, Cheggs nyeste datterselskab på det tidspunkt, en dataovertrædelse. Antallet af berørte personer forblev ukendt, og udviklerens uddannelsesplatform sagde ikke, hvilken slags data endte i de forkerte hænder. Det, vi ved, er, at nulstilling af adgangskode blev håndhævet efter begge angreb.
Vi har ofte sagt på disse sider, at ingen er immun mod cyberattacks, men det faktum, at Chegg har lidt tre dataovertrædelser i så mange år, viser tydeligt, at virksomheden har alvorlige cybersikkerhedsspørgsmål. Lad os håbe, at nogen adresserer dem før det næste succesrige angreb.
