Chegg ismét csalódást okoz: harmadik évente megsérti az adatokat
Április 28-án az amerikai oktatási technológiai vállalat, a Chegg beismerte, hogy adat megsértését szenvedett. Az érintett személyeknek küldött levélben Dana Jewell, Chegg alelnöke bejelentette, hogy április 9-én egy hackert veszélyeztette a társaság rendszerében, és mintegy 700 jelenlegi és volt alkalmazott nyilvántartásával számolt be.
Chegg egy nappal később tudta meg a jogsértést, és azonnal értesítette a rendészeti szerveket. Dana Jewell sürgette a potenciális áldozatokat, hogy legyenek éberségesek, elmondta nekik, hogy a társaság költségén kihasználhatják a hitelfelügyeleti szolgáltatásokat, és megígérte, hogy a Chegg megpróbálja javítani a biztosítékait és elkerülni a hasonló eseményeket a jövőben. Ez messze nem a legnagyobb vagy leghatékonyabb megsértéstől, amit valaha is láthat, de ha részletesebben megvizsgálja, észre fogja venni, hogy a probléma jelentősebb, mint az eleinte tűnik.
Table of Contents
Chegg nem hajlandó nyíltan beszélni a jogsértésről
Minden nap több millió ember adatai szivárognak az interneten, és ennek fényében mindössze 700 alkalmazott tűnik villanásnak. Tegye be a számot a környezetbe, és látni fogja, hogy a megsértés meglehetősen jelentős. Chegg legutóbbi éves jelentése szerint 2019 végén a társaság alig több mint 1400 alkalmazottat foglalkoztatott, ami hirtelen a szivárgást inkább súlyosabbá teszi. Mint már említettem, a múlt hónapban megtámadott személyek egy része már nem dolgozik a Cheggnél, de tény, hogy a vállalat nem tudta megvédeni adataikat a jogosulatlan hozzáféréstől.
Megválaszolatlan marad a kérdés, hogy ez hogyan történt, és miért. Chegg nem nyilvánosságra hozta a jogsértést a szabályozási beadványban, és sajtóközlemény nincs. A TechCrunch további észrevételek iránti kérelmét szintén elutasították.
A nagyközönség nem tudná a támadást, ha nem a rendeletekről szólna, amelyek azt írják elő, hogy a hackerek által sújtott társaságoknak meg kell osztaniuk az egyes államok főügyészeivel az adatok megsértéséről szóló értesítéseiket. Valójában az érintett személyek száma viszonylag kicsi, de mivel állami társaságként működik, a Cheggnek vannak részvényesei, akik pontosan szeretnék tudni, hogy mi történik adott időben. Lehet, hogy nem igazán elégedettek az adott jogsértés körül részleteivel.
A hackerek ellopták a társadalombiztosítási számokat
Lehet, hogy észrevette, hogy a Chegg ingyenes hitel-felügyeleti szolgáltatásokat kínál a potenciális áldozatok számára, és azok közül, akik elegendő adat-megsértési értesítést olvastak, tudják, hogy ez egy rossz jel. Ez általában azt jelenti, hogy az adatok elég érzékenyek a személyazonosság eltulajdonításának megkönnyítésére, és az értesítés szerint eléggé biztosak abban, hogy a számítógépes bűnözők az érintett munkavállalók nevével és a társadalombiztosítási számokkal készültek.
A Chegg nem idegen az adatsértésekkel szemben
Ebben a támadásban a Chegg felhasználóit nem érintette, de a korábbi jogsértések során nem erről volt szó. A „megsértés” többes formája nem elírás. A Chegg 2018. áprilisában szenvedett első támadásának, de csak öt hónappal később, szeptemberben tudta meg róla. Az érintett felhasználók száma 40 millió volt, és a kiszivárogtatott adatok e-maileket, fizikai címeket és hash jelszavakat tartalmaztak.
2019-ben a Thinkful, a Chegg akkori legújabb leányvállalata szintén bejelentette az adatok megsértését. Az érintett személyek száma ismeretlen maradt, és a fejlesztői oktatási platform nem mondta, hogy milyen adatok rossz kezekbe kerültek. Azt tudjuk, hogy a jelszó-visszaállítást mindkét támadás után végrehajtották.
Ezen oldalakon gyakran mondtuk, hogy senki sem immunis a kibertámadások ellen, de az a tény, hogy a Chegg évente három adat megsértését szenvedett, egyértelműen azt mutatja, hogy a vállalatnak komoly kiberbiztonsági problémái vannak. Reméljük, hogy valaki megkeresi őket a következő sikeres támadás előtt.