Cheggは再びがっかり：3年間で3回目のデータ侵害

4月28日、米国の教育テクノロジー企業Cheggは、データ侵害があったことを認めました。チェッグの副社長であるダナジュエルは、影響を受けた個人に宛てた手紙で、4月9日にハッカーが会社のシステムを侵害し、約700人の現従業員と元従業員の記録を取り除いたと発表しました。

チェッグはその違反について1日後に知り、すぐに法執行機関に通知しました。 Dana Jewellは、潜在的な被害者に対してより警戒するよう促し、会社の費用負担で信用監視サービスを利用できると述べ、Cheggが将来的にセーフガードを改善して同様のインシデントを回避することを約束すると約束しました。これは、これまでに発生した最大のまたは最も影響力のある違反からはほど遠いですが、詳細に調べると、問題が最初に現れるよりも重大であることがわかります。

チェッグは違反について公然と話したがらない

毎日、何百万もの人々のデータがインターネット上で漏えいしており、これを踏まえると、わずか700人の従業員が一瞬のように見えます。ただし、数値を前後関係に入れれば、違反がかなり重大であることがわかります。 Cheggの最新の年次報告書によると、2019年末の時点で、同社には1,400人を超える従業員がいて、突然、情報漏えいを深刻化させています。すでに述べたように、先月の攻撃の影響を受けた一部の人々はもはやCheggで働いていませんが、会社がデータを不正アクセスから保護できなかったという事実は残っています。

これがどのようにして起こったのか、そしてなぜ答えられないのかという問題。チェッグ氏は規制当局への提出で違反を明らかにしておらず、プレスリリースはありません。 TechCrunchからの追加コメントの要求も拒否された。

ハッカーに襲われた企業がデータ侵害の通知を一部の州の司法長官と共有しなければならないことを規定する規制がなければ、一般市民は攻撃に気付かないでしょう。確かに、影響を受ける個人の数は比較的少ないですが、公開会社であるチェッグには、常に何が起こっているのかを正確に知りたい株主がいます。彼らはこの特定の違反に関する詳細にあまり満足していないかもしれません。

ハッカーは社会保障番号を盗んだ

Cheggが潜在的な被害者に無料の信用監視サービスを提供していることにお気づきかもしれませんが、十分なデータ侵害通知を読んだ人はこれが悪い兆候であることを知っています。これは通常、データが個人情報の盗難を容易にするほど機密性が高いことを意味し、通知によると、サイバー犯罪者は影響を受ける従業員の名前と社会保障番号を利用しています。

Cheggはデータ侵害を知らない

この特定の攻撃では、Cheggのユーザーは影響を受けませんでしたが、以前の違反ではそうではありませんでした。 「違反」の複数形はタイプミスではありません。チェッグは2018年4月に最初の攻撃に見舞われましたが、5か月後の9月になって初めて知りました。影響を受けるユーザーの数は4000万人で、漏えいしたデータにはメール、物理アドレス、ハッシュ化されたパスワードが含まれていました。

2019年、当時のCheggの最新の子会社であるThinkfulもデータ侵害を発表しました。影響を受ける人々の数は不明のままであり、開発者教育プラットフォームは、どのようなデータが悪用されたのかについては言及しませんでした。私たちが知っていることは、両方の攻撃の後でパスワードのリセットが強制されたことです。

これらのページでは、サイバー攻撃の影響を受けない人はいないとよく言ってきましたが、チェッグが何年にもわたって3回のデータ侵害を受けたことは、同社に深刻なサイバーセキュリティ問題があることを明確に示しています。次の攻撃が成功する前に誰かが対処してくれることを期待しましょう。