Chegg déçoit à nouveau: une troisième violation de données en trois ans
Le 28 avril, la société américaine de technologie éducative Chegg a reconnu avoir subi une violation de données. Dans une lettre envoyée aux personnes concernées, Dana Jewell, vice-présidente de Chegg, a annoncé que le 9 avril, un pirate informatique avait compromis les systèmes de l'entreprise et s'était envolé avec les dossiers d'environ 700 employés actuels et anciens.
Chegg a appris la violation un jour plus tard et a immédiatement informé les forces de l'ordre. Dana Jewell a exhorté les victimes potentielles à être plus vigilantes, leur a dit qu'elles pouvaient profiter des services de surveillance du crédit aux frais de la société et a promis que Chegg tentera d'améliorer ses garanties et d'éviter des incidents similaires à l'avenir. C'est loin d'être la violation la plus importante ou la plus percutante que vous aurez jamais vue, mais lorsque vous l'examinerez plus en détail, vous remarquerez que le problème est plus important qu'il n'y paraît au premier abord.
Table of Contents
Chegg ne veut pas parler ouvertement de la brèche
Chaque jour, les données de millions de personnes sont divulguées sur Internet, et à la lumière de cela, seulement 700 employés semblent être un flash dans la casserole. Mettez le nombre dans son contexte, cependant, et vous verrez que la violation est assez importante. Selon le dernier rapport annuel de Chegg, fin 2019, l'entreprise comptait un peu plus de 1400 employés, ce qui rend soudain la fuite un peu plus grave. Comme déjà mentionné, certaines des personnes touchées par l'attaque du mois dernier ne travaillent plus pour Chegg, mais il n'en demeure pas moins que l'entreprise n'a pas protégé ses données contre tout accès non autorisé.
La question de savoir comment cela s'est produit et pourquoi reste sans réponse. Chegg n'a pas divulgué la violation dans un dossier réglementaire, et il n'y a pas de communiqué de presse. Les demandes de commentaires supplémentaires de TechCrunch ont également été rejetées.
Le grand public ne serait pas au courant de l'attaque s'il n'y avait pas eu de réglementation, qui oblige les entreprises qui ont été frappées par des pirates à partager leurs notifications de violation de données avec les procureurs généraux de certains États. En effet, le nombre de personnes touchées est relativement faible, mais, étant une entreprise publique, Chegg a des actionnaires qui aimeraient savoir exactement ce qui se passe à un moment donné. Ils pourraient ne pas être très satisfaits des détails de cette violation particulière.
Les pirates ont volé des numéros de sécurité sociale
Vous avez peut-être remarqué que Chegg offre des services gratuits de surveillance du crédit aux victimes potentielles, et ceux d'entre vous qui ont lu suffisamment de notifications de violation de données savent que c'est un mauvais signe. Cela signifie généralement que les données sont suffisamment sensibles pour faciliter le vol d'identité, et bien sûr, selon l'avis, les cybercriminels se sont trompés avec les noms et les numéros de sécurité sociale des employés concernés.
Chegg n'est pas étranger aux violations de données
Dans cette attaque particulière, les utilisateurs de Chegg n'ont pas été affectés, mais ce n'était pas le cas lors des violations précédentes. La forme plurielle de "violation" n'est pas une faute de frappe. Chegg a subi sa première attaque en avril 2018 mais ne l'a appris que cinq mois plus tard en septembre. Le nombre d'utilisateurs concernés s'élevait à 40 millions, et les données divulguées comprenaient des e-mails, des adresses physiques et des mots de passe hachés.
En 2019, Thinkful, la plus récente filiale de Chegg à l'époque, a également annoncé une violation de données. Le nombre de personnes affectées est resté inconnu, et la plateforme de formation des développeurs n'a pas précisé quel type de données s'est retrouvé entre de mauvaises mains. Ce que nous savons, c'est que les réinitialisations de mot de passe ont été appliquées après les deux attaques.
Nous avons souvent dit sur ces pages que personne n'était à l'abri des cyberattaques, mais le fait que Chegg a subi trois violations de données en autant d'années montre clairement que l'entreprise a de graves problèmes de cybersécurité. Espérons que quelqu'un s'adresse à eux avant la prochaine attaque réussie.