Chegg stelt opnieuw teleur: een derde datalek in drie jaar
Op 28 april gaf het Amerikaanse onderwijstechnologiebedrijf Chegg toe dat het een datalek had opgelopen. In een brief aan getroffen personen kondigde Dana Jewell, de vice-president van Chegg, aan dat op 9 april een hacker de systemen van het bedrijf in gevaar bracht en de records van ongeveer 700 huidige en voormalige werknemers ophaalde.
Chegg hoorde een dag later over de inbreuk en informeerde de politie onmiddellijk. Dana Jewell drong er bij potentiële slachtoffers op aan waakzamer te zijn, vertelde hen dat ze op kosten van het bedrijf kunnen profiteren van kredietbewakingsdiensten en beloofde dat Chegg zal proberen haar veiligheidsmaatregelen te verbeteren en soortgelijke incidenten in de toekomst te voorkomen. Het is verre van de grootste of meest ingrijpende inbreuk die u ooit zult zien, maar als u deze nader bekijkt, zult u merken dat het probleem belangrijker is dan het in eerste instantie lijkt.
Table of Contents
Chegg wil niet openlijk over de inbreuk praten
Elke dag lekken de gegevens van miljoenen mensen op het internet, en in het licht hiervan lijken slechts 700 werknemers een flits in de pan. Plaats het nummer echter in de context en u zult zien dat de schending redelijk groot is. Volgens het laatste jaarverslag van Chegg had het bedrijf eind 2019 iets meer dan 1.400 medewerkers, wat het lek ineens een stuk ernstiger maakt. Zoals eerder vermeld, werken sommige mensen die getroffen zijn door de aanval van vorige maand niet meer voor Chegg, maar het feit blijft dat het bedrijf hun gegevens niet heeft beschermd tegen ongeoorloofde toegang.
De vraag hoe dit is gebeurd en waarom blijft onbeantwoord. Chegg heeft de schending niet bekendgemaakt in een wettelijke aanvraag en er is geen persbericht. De verzoeken van TechCrunch voor verdere opmerkingen werden ook afgewezen.
Het grote publiek zou zich niet bewust zijn van de aanval als er geen regelgeving was, die voorschrijft dat bedrijven die door hackers zijn getroffen, hun meldingen van datalekken in sommige staten met de procureurs-generaal moeten delen. Het aantal getroffen personen is inderdaad relatief klein, maar omdat het een naamloze vennootschap is, heeft Chegg aandeelhouders die op elk moment precies willen weten wat er aan de hand is. Ze zijn misschien niet erg blij met de details rond deze specifieke inbreuk.
De hackers stalen de burgerservicenummers
Het is u misschien opgevallen dat Chegg gratis kredietbewakingsdiensten aanbiedt aan potentiële slachtoffers, en degenen onder u die voldoende kennisgevingen over datalekken hebben gelezen, weten dat dit een slecht teken is. Het betekent meestal dat de gegevens gevoelig genoeg zijn om identiteitsdiefstal te vergemakkelijken, en inderdaad, volgens de aankondiging gingen de cybercriminelen op pad met de namen van de getroffen werknemers en burgerservicenummers.
Chegg is geen onbekende in datalekken
Bij deze specifieke aanval werden de gebruikers van Chegg niet beïnvloed, maar dit was niet het geval tijdens eerdere inbreuken. De meervoudsvorm van "breuk" is geen typfout. Chegg leed zijn eerste aanval in april 2018, maar hoorde er pas vijf maanden later in september over. Het aantal getroffen gebruikers bedroeg 40 miljoen en de gelekte gegevens omvatten e-mails, fysieke adressen en gehashte wachtwoorden.
In 2019 kondigde Thinkful, destijds de nieuwste dochteronderneming van Chegg, ook een datalek aan. Het aantal getroffen mensen bleef onbekend en het opleidingsplatform voor ontwikkelaars zei niet wat voor soort gegevens in verkeerde handen kwamen. Wat we wel weten, is dat het opnieuw instellen van wachtwoorden na beide aanvallen is afgedwongen.
We hebben op deze pagina's vaak gezegd dat niemand immuun is voor cyberaanvallen, maar het feit dat Chegg in zoveel jaren drie datalekken heeft opgelopen, laat duidelijk zien dat het bedrijf ernstige cyberveiligheidsproblemen heeft. Laten we hopen dat iemand ze aanspreekt voor de volgende succesvolle aanval.