Chegg ponownie rozczarowuje: trzecie naruszenie danych w ciągu trzech lat
28 kwietnia amerykańska firma technologiczna Chegg przyznała, że doszło do naruszenia danych. W liście wysłanym do dotkniętych osób Dana Jewell, wiceprezes Chegga, ogłosiła, że 9 kwietnia haker naruszył systemy firmy i zapisał dane około 700 obecnych i byłych pracowników.
Chegg dowiedział się o naruszeniu dzień później i natychmiast poinformował organy ścigania. Dana Jewell wezwała potencjalne ofiary do większej czujności, powiedziała im, że mogą skorzystać z usług monitorowania kredytu na koszt firmy, i obiecała, że Chegg będzie próbował poprawić swoje zabezpieczenia i uniknąć podobnych incydentów w przyszłości. Jest daleki od największego lub najbardziej wpływowego naruszenia, jakie kiedykolwiek zobaczysz, ale kiedy przyjrzysz się temu bardziej szczegółowo, zauważysz, że problem jest poważniejszy, niż się wydaje.
Table of Contents
Chegg nie chce otwarcie mówić o naruszeniu
Każdego dnia dane milionów ludzi wyciekają do Internetu, a w związku z tym zaledwie 700 pracowników wydaje się błyskawiczne. Podaj liczbę w kontekście, a zobaczysz, że naruszenie jest dość znaczące. Według najnowszego raportu rocznego Chegga pod koniec 2019 r. Firma zatrudniała nieco ponad 1400 pracowników, co nagle czyni wyciek bardziej poważnym. Jak już wspomniano, niektóre osoby dotknięte atakiem w zeszłym miesiącu nie pracują już dla Chegga, ale faktem jest, że firma nie ochroniła swoich danych przed nieautoryzowanym dostępem.
Pytanie, jak to się stało i dlaczego pozostaje bez odpowiedzi. Chegg nie ujawnił naruszenia w dokumentacji regulacyjnej i nie ma komunikatu prasowego. Wnioski TechCrunch o dalsze komentarze również zostały odrzucone.
Opinia publiczna nie byłaby świadoma ataku, gdyby nie regulacje, które nakazują, aby firmy, które zostały dotknięte przez hakerów, musiały udostępniać powiadomienia o naruszeniu danych Prokuratorowi Generalnemu w niektórych stanach. Rzeczywiście liczba dotkniętych osób jest stosunkowo niewielka, ale jako spółka publiczna Chegg ma akcjonariuszy, którzy chcieliby wiedzieć dokładnie, co się dzieje w danym momencie. Mogą nie być bardzo zadowoleni ze szczegółów dotyczących tego konkretnego naruszenia.
Hakerzy ukradli numery ubezpieczenia społecznego
Być może zauważyłeś, że Chegg oferuje bezpłatne usługi monitorowania kredytu potencjalnym ofiarom, a ci z was, którzy przeczytali wystarczającą liczbę powiadomień o naruszeniu danych, wiedzą, że jest to zły znak. Zazwyczaj oznacza to, że dane są wystarczająco wrażliwe, aby ułatwić kradzież tożsamości, i na pewno, zgodnie z zawiadomieniem, cyberprzestępcy wyszli z nazwiskami pracowników i numerami ubezpieczenia społecznego.
Chegg nie jest obcy naruszeniom danych
W tym konkretnym ataku nie wpłynęło to na użytkowników Chegga, ale nie miało to miejsca podczas poprzednich naruszeń. Liczba mnoga „naruszenie” nie jest literówką. Chegg doznał pierwszego ataku w kwietniu 2018 r., Ale dowiedział się o tym dopiero pięć miesięcy później we wrześniu. Liczba dotkniętych użytkowników wyniosła 40 milionów, a wyciekające dane obejmowały e-maile, adresy fizyczne i hashowane hasła.
W 2019 r. Firma Thinkful, najnowsza filia Chegga, ogłosiła również naruszenie danych. Liczba dotkniętych osób pozostała nieznana, a platforma edukacji programistów nie powiedziała, jakie dane trafiły w niepowołane ręce. Wiemy, że resetowanie hasła było wymuszone po obu atakach.
Często mówiliśmy na tych stronach, że nikt nie jest odporny na cyberataki, ale fakt, że Chegg doznał trzech naruszeń danych w ciągu wielu lat, wyraźnie pokazuje, że firma ma poważne problemy z cyberbezpieczeństwem. Miejmy nadzieję, że ktoś zwróci się do nich przed kolejnym udanym atakiem.
