Ο Chegg απογοητεύει ξανά: Μια τρίτη παραβίαση δεδομένων σε τρία χρόνια
Στις 28 Απριλίου, η αμερικανική εταιρεία τεχνολογίας εκπαίδευσης Chegg παραδέχτηκε ότι υπέστη παραβίαση δεδομένων. Σε μια επιστολή που εστάλη σε θιγόμενα άτομα, η Dana Jewell, Αντιπρόεδρος της Chegg, ανακοίνωσε ότι στις 9 Απριλίου, ένας χάκερ έθεσε σε κίνδυνο τα συστήματα της εταιρείας και ξεκίνησε με τα αρχεία περίπου 700 σημερινών και πρώην υπαλλήλων.
Ο Chegg έμαθε για την παράβαση μια μέρα αργότερα, και ενημέρωσε αμέσως την επιβολή του νόμου. Η Dana Jewell προέτρεψε τα πιθανά θύματα να είναι πιο προσεκτικά, τους είπαν ότι μπορούν να επωφεληθούν από τις υπηρεσίες παρακολούθησης πιστώσεων σε βάρος της εταιρείας και υποσχέθηκε ότι η Chegg θα προσπαθήσει να βελτιώσει τις διασφαλίσεις της και να αποφύγει παρόμοια συμβάντα στο μέλλον. Απέχει πολύ από τη μεγαλύτερη ή πιο σημαντική παραβίαση που θα δείτε ποτέ, αλλά όταν την εξετάσετε με περισσότερες λεπτομέρειες, θα παρατηρήσετε ότι το πρόβλημα είναι πιο σημαντικό από ό, τι εμφανίζεται στην αρχή.
Table of Contents
Ο Chegg δεν θέλει να μιλήσει ανοιχτά για την παραβίαση
Κάθε μέρα, τα δεδομένα εκατομμυρίων ανθρώπων διαρρέουν στο Διαδίκτυο, και υπό το φως αυτού, μόλις 700 υπάλληλοι μοιάζουν με φλας στο ταψί. Βάλτε τον αριθμό στο πλαίσιο, ωστόσο, και θα δείτε ότι η παραβίαση είναι αρκετά σημαντική. Σύμφωνα με την τελευταία ετήσια έκθεση της Chegg, στο τέλος του 2019, η εταιρεία απασχολούσε πάνω από 1.400 υπαλλήλους, γεγονός που καθιστά ξαφνικά τη διαρροή μάλλον πιο σοβαρή. Όπως αναφέρθηκε ήδη, ορισμένα από τα άτομα που επλήγησαν από την επίθεση του περασμένου μήνα δεν λειτουργούν πια για την Chegg, αλλά το γεγονός παραμένει ότι η εταιρεία απέτυχε να προστατεύσει τα δεδομένα τους από μη εξουσιοδοτημένη πρόσβαση.
Το ερώτημα για το πώς συνέβη αυτό και γιατί παραμένει αναπάντητο. Η Chegg δεν αποκάλυψε την παραβίαση σε κανονιστική κατάθεση και δεν υπάρχει δελτίο τύπου. Τα αιτήματα της TechCrunch για περαιτέρω σχόλια απορρίφθηκαν επίσης.
Το ευρύ κοινό δεν θα γνώριζε την επίθεση εάν δεν αφορούσε κανονισμούς, οι οποίοι υπαγορεύουν ότι οι εταιρείες που έχουν πληγεί από χάκερ πρέπει να κοινοποιούν τις ειδοποιήσεις παραβίασης δεδομένων τους με τους Γενικούς Εισαγγελέα σε ορισμένες πολιτείες. Πράγματι, ο αριθμός των πληγέντων είναι σχετικά μικρός, αλλά, ως δημόσια εταιρεία, η Chegg έχει μετόχους που θα ήθελαν να γνωρίζουν ακριβώς τι συμβαίνει ανά πάσα στιγμή. Μπορεί να μην είναι πολύ ευχαριστημένοι με τις λεπτομέρειες σχετικά με αυτήν τη συγκεκριμένη παραβίαση.
Οι χάκερ έκλεψαν αριθμούς κοινωνικής ασφάλισης
Μπορεί να έχετε παρατηρήσει ότι η Chegg προσφέρει δωρεάν υπηρεσίες παρακολούθησης πίστωσης σε δυνητικά θύματα και όσοι από εσάς έχετε διαβάσει αρκετές ειδοποιήσεις παραβίασης δεδομένων γνωρίζουν ότι αυτό είναι κακό σημάδι. Συνήθως σημαίνει ότι τα δεδομένα είναι αρκετά ευαίσθητα για να διευκολύνουν την κλοπή ταυτότητας, και σίγουρα, σύμφωνα με την ειδοποίηση, οι εγκληματίες στον κυβερνοχώρο ξεκίνησαν με τα ονόματα των υπαλλήλων και τους αριθμούς κοινωνικής ασφάλισης.
Η Chegg δεν είναι ξένη για παραβιάσεις δεδομένων
Σε αυτήν τη συγκεκριμένη επίθεση, οι χρήστες του Chegg δεν επηρεάστηκαν, αλλά αυτό δεν συνέβη κατά τις προηγούμενες παραβιάσεις. Η πληθυντική μορφή της «παραβίασης» δεν είναι τυπογραφικό λάθος. Η Chegg υπέστη την πρώτη της επίθεση τον Απρίλιο του 2018, αλλά έμαθε μόνο πέντε μήνες αργότερα τον Σεπτέμβριο. Ο αριθμός των επηρεαζόμενων χρηστών ανήλθε σε 40 εκατομμύρια, και τα δεδομένα που διέρρευσαν περιελάμβαναν μηνύματα ηλεκτρονικού ταχυδρομείου, φυσικές διευθύνσεις και κωδικούς πρόσβασης κατακερματισμού.
Το 2019, η Thinkful, η νεότερη θυγατρική της Chegg τότε, ανακοίνωσε επίσης παραβίαση δεδομένων. Ο αριθμός των επηρεαζόμενων ατόμων παρέμεινε άγνωστος και η πλατφόρμα εκπαίδευσης προγραμματιστών δεν είπε τι είδους δεδομένα κατέληξαν σε λάθος χέρια. Αυτό που γνωρίζουμε είναι ότι οι επαναφορές κωδικού πρόσβασης εφαρμόστηκαν μετά από τις δύο επιθέσεις.
Συχνά είπαμε σε αυτές τις σελίδες ότι κανείς δεν είναι απρόσβλητος από κυβερνοεπιθέσεις, αλλά το γεγονός ότι η Chegg υπέστη τρεις παραβιάσεις δεδομένων σε τόσα χρόνια δείχνει σαφώς ότι η εταιρεία έχει σοβαρά ζητήματα ασφάλειας στον κυβερνοχώρο. Ας ελπίσουμε ότι κάποιος θα τα αντιμετωπίσει πριν από την επόμενη επιτυχημένη επίθεση.
