Chegg skuffer igjen: Et tredje datainnbrudd på tre år
28. april innrømmet det amerikanske utdanningsteknologiselskapet Chegg at det hadde fått et datainnbrudd. I et brev sendt til berørte enkeltpersoner kunngjorde Dana Jewell, Cheggs visepresident, at 9. april kom en hacker på kompromiss med selskapets systemer og klarte seg med posten til rundt 700 nåværende og tidligere ansatte.
Chegg fikk vite om bruddet et døgn senere, og det informerte straks lovhåndhevelse. Dana Jewell oppfordret potensielle ofre til å være mer årvåken, fortalte dem at de kan dra nytte av kredittovervåkningstjenester på selskapets bekostning, og lovet at Chegg vil prøve å forbedre sikkerhetsforholdene og unngå lignende hendelser i fremtiden. Det er langt fra det største eller mest effektive bruddet du noensinne vil se, men når du undersøker det mer detaljert, vil du merke at problemet er mer betydelig enn det ser ut til å begynne med.
Table of Contents
Chegg er uvillig til å snakke åpent om bruddet
Hver dag blir data fra millioner av mennesker lekket på internett, og i lys av dette virker bare 700 ansatte som et glimt i pannen. Sett tallet imidlertid i sammenheng, så ser du at bruddet er ganske betydelig. I følge Cheggs siste årsrapport hadde selskapet i slutten av 2019 drøyt 1400 ansatte, noe som plutselig gjør lekkasjen nokså alvorligere. Som nevnt allerede, jobber ikke noen av menneskene som er berørt av angrepet i forrige måned for Chegg lenger, men det er fortsatt at selskapet ikke har klart å beskytte dataene deres mot uautorisert tilgang.
Spørsmålet om hvordan dette skjedde og hvorfor forblir ubesvart. Chegg har ikke avslørt bruddet i en forskriftsinnlevering, og det foreligger ingen pressemelding. TechCrunchs forespørsler om ytterligere kommentarer ble også avslått.
Den brede offentligheten ville ikke være klar over angrepet hvis det ikke var for forskrifter, som tilsier at selskaper som er blitt rammet av hackere må dele sine varsler om dataovertredelse med riksadvokaten i noen stater. Antallet berørte individer er faktisk relativt lite, men som et offentlig selskap har Chegg aksjonærer som ønsker å vite nøyaktig hva som foregår til enhver tid. De er kanskje ikke veldig fornøyde med detaljene rundt akkurat dette bruddet.
Hackerne stjal personnummer
Du har kanskje lagt merke til at Chegg tilbyr gratis kredittovervåkningstjenester til potensielle ofre, og de av dere som har lest nok varsel om dataovertredelse, vet at dette er et dårlig tegn. Det betyr vanligvis at dataene er sensitive nok til å lette identitetstyveri, og sikkert nok, i følge varselet, cyberkriminelle utlignet med de berørte ansattes navn og personnummer.
Chegg er ikke fremmed for datainnbrudd
I dette angrepet ble ikke Cheggs brukere berørt, men dette var ikke tilfelle under tidligere brudd. Flertall av "brudd" er ikke en skrivefeil. Chegg fikk sitt første angrep i april 2018, men fikk bare vite om det fem måneder senere i september. Antall berørte brukere sto på 40 millioner, og de lekkede dataene inkluderte e-post, fysiske adresser og hashpassord.
I 2019 kunngjorde også Thinkful, Cheggs nyeste datterselskap den gangen, et datainnbrudd. Antall berørte personer forble ukjent, og utviklerplattformen sa ikke hva slags data som havnet i gale hender. Det vi vet er at tilbakestillinger av passord ble håndhevet etter begge angrepene.
Vi har ofte sagt på disse sidene at ingen er immun mot nettangrep, men det faktum at Chegg har lidd tre datainnbrudd på like mange år, viser tydelig at selskapet har alvorlige cybersikkerhetsproblemer. La oss håpe noen adresserer dem før neste vellykkede angrep.
