Chegg delude ancora una volta: una terza violazione dei dati in tre anni
Il 28 aprile, la società statunitense di tecnologia per l'istruzione Chegg ha ammesso di aver subito una violazione dei dati. In una lettera inviata alle persone colpite, Dana Jewell, vicepresidente di Chegg, ha annunciato che il 9 aprile un hacker ha compromesso i sistemi dell'azienda e ha registrato i record di circa 700 dipendenti attuali e precedenti.
Il giorno dopo Chegg venne a conoscenza della violazione e informò immediatamente le forze dell'ordine. Dana Jewell ha esortato le potenziali vittime a essere più vigili, ha detto loro che possono trarre vantaggio dai servizi di monitoraggio del credito a spese dell'azienda e ha promesso che Chegg cercherà di migliorare le sue garanzie ed evitare incidenti simili in futuro. È tutt'altro che la violazione più grande o di maggiore impatto che tu abbia mai visto, ma quando lo esaminerai in modo più dettagliato, noterai che il problema è più significativo di quanto sembri inizialmente.
Table of Contents
Chegg non è disposto a parlare apertamente della violazione
Ogni giorno, i dati di milioni di persone vengono divulgati su Internet e, alla luce di ciò, solo 700 dipendenti sembrano un bagliore. Metti il numero nel contesto, tuttavia, e vedrai che la violazione è abbastanza significativa. Secondo l'ultimo rapporto annuale di Chegg, alla fine del 2019, la società contava poco più di 1.400 dipendenti, il che rende improvvisamente la perdita piuttosto grave. Come già accennato, alcune delle persone colpite dall'attacco del mese scorso non lavorano più per Chegg, ma resta il fatto che la società non è riuscita a proteggere i propri dati da accessi non autorizzati.
La domanda su come sia successo e perché non abbia ricevuto risposta. Chegg non ha rivelato la violazione in un deposito normativo e non è stato rilasciato alcun comunicato stampa. Anche le richieste di TechCrunch per ulteriori commenti sono state rifiutate.
Il grande pubblico non sarebbe a conoscenza dell'attacco se non fosse per i regolamenti, che impongono che le aziende che sono state colpite dagli hacker debbano condividere le loro notifiche di violazione dei dati con gli avvocati generali in alcuni stati. In effetti, il numero di individui colpiti è relativamente piccolo, ma, essendo una società pubblica, Chegg ha azionisti che vorrebbero sapere esattamente cosa sta succedendo in un dato momento. Potrebbero non essere molto contenti dei dettagli di questa particolare violazione.
Gli hacker hanno rubato i numeri di previdenza sociale
Potresti aver notato che Chegg offre servizi gratuiti di monitoraggio del credito alle potenziali vittime e quelli di voi che hanno letto abbastanza notifiche sulla violazione dei dati sanno che questo è un brutto segno. Di solito significa che i dati sono abbastanza sensibili da facilitare il furto di identità e abbastanza sicuri, secondo l'avviso, i criminali informatici fatti fuori con i nomi e i numeri di previdenza sociale dei dipendenti interessati.
Chegg non è estraneo alle violazioni dei dati
In questo particolare attacco, gli utenti di Chegg non sono stati interessati, ma non è stato così durante le precedenti violazioni. La forma plurale di "violazione" non è un errore di battitura. Chegg subì il suo primo attacco nell'aprile 2018, ma ne venne a conoscenza solo cinque mesi dopo a settembre. Il numero di utenti interessati era pari a 40 milioni e i dati trapelati includevano e-mail, indirizzi fisici e password con hash.
Nel 2019, Thinkful, la nuova filiale di Chegg all'epoca, ha anche annunciato una violazione dei dati. Il numero di persone colpite è rimasto sconosciuto e la piattaforma di formazione per gli sviluppatori non ha detto che tipo di dati è finito nelle mani sbagliate. Quello che sappiamo è che le reimpostazioni della password sono state applicate dopo entrambi gli attacchi.
In queste pagine abbiamo spesso affermato che nessuno è immune agli attacchi informatici, ma il fatto che Chegg abbia subito tre violazioni dei dati in altrettanti anni dimostra chiaramente che l'azienda ha seri problemi di sicurezza informatica. Speriamo che qualcuno li affronti prima del prossimo attacco riuscito.
