Chegg decepciona de nuevo: una tercera violación de datos en tres años
El 28 de abril, la compañía estadounidense de tecnología educativa Chegg admitió que había sufrido una violación de datos. En una carta enviada a las personas afectadas, Dana Jewell, vicepresidenta de Chegg, anunció que el 9 de abril, un pirata informático comprometió los sistemas de la compañía y se llevó los registros de alrededor de 700 empleados actuales y anteriores.
Chegg se enteró de la violación un día después, e inmediatamente informó a la policía. Dana Jewell instó a las víctimas potenciales a estar más atentas, les dijo que pueden aprovechar los servicios de monitoreo de crédito a expensas de la compañía y prometió que Chegg intentará mejorar sus salvaguardas y evitar incidentes similares en el futuro. Está lejos de ser la violación más grande o más impactante que jamás haya visto, pero cuando la examine con más detalle, notará que el problema es más significativo de lo que parece al principio.
Table of Contents
Chegg no está dispuesto a hablar abiertamente sobre la violación
Todos los días, los datos de millones de personas se filtran en Internet y, a la luz de esto, solo 700 empleados parecen un destello. Ponga el número en contexto, sin embargo, y verá que la violación es bastante significativa. Según el último informe anual de Chegg, a fines de 2019, la compañía tenía poco más de 1.400 empleados, lo que de repente hace que la filtración sea más grave. Como ya se mencionó, algunas de las personas afectadas por el ataque del mes pasado ya no trabajan para Chegg, pero el hecho es que la compañía no ha podido proteger sus datos del acceso no autorizado.
La pregunta de cómo sucedió esto y por qué sigue sin respuesta. Chegg no ha revelado la violación en una presentación reglamentaria, y no hay un comunicado de prensa. Las solicitudes de TechCrunch para más comentarios también fueron rechazadas.
El gran público no estaría al tanto del ataque si no fuera por las regulaciones, que dictan que las empresas que han sido atacadas por piratas informáticos deben compartir sus notificaciones de violación de datos con los Procuradores Generales en algunos estados. De hecho, el número de personas afectadas es relativamente pequeño, pero, al ser una empresa pública, Chegg tiene accionistas que desean saber exactamente qué está sucediendo en un momento dado. Puede que no estén muy contentos con los detalles sobre esta violación en particular.
Los hackers robaron los números de la Seguridad Social
Es posible que haya notado que Chegg está ofreciendo servicios gratuitos de monitoreo de crédito a posibles víctimas, y aquellos de ustedes que han leído suficientes notificaciones de violación de datos saben que esta es una mala señal. Por lo general, significa que los datos son lo suficientemente sensibles como para facilitar el robo de identidad y, de acuerdo con la notificación, los ciberdelincuentes se hicieron con los nombres de los empleados afectados y los números de la Seguridad Social.
Chegg no es ajeno a las violaciones de datos
En este ataque en particular, los usuarios de Chegg no se vieron afectados, pero este no fue el caso durante las infracciones anteriores. La forma plural de "incumplimiento" no es un error tipográfico. Chegg sufrió su primer ataque en abril de 2018, pero solo se enteró cinco meses después en septiembre. El número de usuarios afectados fue de 40 millones, y los datos filtrados incluyeron correos electrónicos, direcciones físicas y contraseñas hash.
En 2019, Thinkful, la subsidiaria más nueva de Chegg en ese momento, también anunció una violación de datos. El número de personas afectadas seguía siendo desconocido, y la plataforma de educación para desarrolladores no dijo qué tipo de datos terminaron en las manos equivocadas. Lo que sí sabemos es que los restablecimientos de contraseña se aplicaron después de ambos ataques.
A menudo hemos dicho en estas páginas que nadie es inmune a los ataques cibernéticos, pero el hecho de que Chegg haya sufrido tres violaciones de datos en los últimos años muestra claramente que la compañía tiene serios problemas de ciberseguridad. Esperemos que alguien se dirija a ellos antes del próximo ataque exitoso.
