Chegg desaponta novamente: uma terceira violação de dados em três anos
Em 28 de abril, a empresa americana de tecnologia educacional Chegg admitiu ter sofrido uma violação de dados. Em uma carta enviada às pessoas afetadas, Dana Jewell, vice-presidente da Chegg, anunciou que, em 9 de abril, um hacker comprometeu os sistemas da empresa e partiu com os registros de cerca de 700 funcionários atuais e ex-funcionários.
Chegg soube da brecha um dia depois e imediatamente informou a polícia. Dana Jewell instou as vítimas em potencial a serem mais vigilantes, disse-lhes que elas poderiam aproveitar os serviços de monitoramento de crédito às custas da empresa e prometeu que Chegg tentaria melhorar suas salvaguardas e evitar incidentes semelhantes no futuro. Está longe de ser a violação maior ou mais impactante que você verá, mas quando a examinar com mais detalhes, perceberá que o problema é mais significativo do que parece à primeira vista.
Índice
Chegg não está disposto a falar abertamente sobre a violação
Todos os dias, os dados de milhões de pessoas vazam na Internet e, à luz disso, apenas 700 funcionários parecem um flash na panela. Coloque o número no contexto, no entanto, e você verá que a violação é bastante significativa. De acordo com o último relatório anual da Chegg, no final de 2019, a empresa tinha pouco mais de 1.400 funcionários, o que de repente torna o vazamento um pouco mais sério. Como já foi mencionado, algumas das pessoas afetadas pelo ataque do mês passado não trabalham mais para a Chegg, mas o fato é que a empresa não conseguiu proteger seus dados contra acesso não autorizado.
A questão de como isso aconteceu e por que permanece sem resposta. Chegg não divulgou a violação em um documento regulamentar, e não há comunicado à imprensa. Os pedidos do TechCrunch para comentários adicionais também foram recusados.
O grande público não estaria ciente do ataque se não fosse pela regulamentação, que determina que as empresas que foram atingidas por hackers devem compartilhar suas notificações de violação de dados com os Procuradores-Gerais em alguns estados. De fato, o número de indivíduos afetados é relativamente pequeno, mas, sendo uma empresa pública, a Chegg possui acionistas que gostariam de saber exatamente o que está acontecendo a qualquer momento. Eles podem não estar muito felizes com os detalhes sobre essa violação específica.
Os hackers roubaram números do Seguro Social
Você deve ter notado que a Chegg está oferecendo serviços gratuitos de monitoramento de crédito a possíveis vítimas, e aqueles que já leram notificações suficientes de violação de dados sabem que isso é um mau sinal. Isso geralmente significa que os dados são sensíveis o suficiente para facilitar o roubo de identidade e, de acordo com o aviso, os cibercriminosos fugiram com os nomes dos funcionários afetados e os números de segurança social.
Chegg não é estranho a violações de dados
Nesse ataque em particular, os usuários do Chegg não foram afetados, mas esse não foi o caso durante as violações anteriores. A forma plural de "violação" não é um erro de digitação. Chegg sofreu seu primeiro ataque em abril de 2018, mas só soube cinco meses depois em setembro. O número de usuários afetados era de 40 milhões, e os dados vazados incluíam e-mails, endereços físicos e senhas com hash.
Em 2019, a Thinkful, a mais nova subsidiária da Chegg na época, também anunciou uma violação de dados. O número de pessoas afetadas permaneceu desconhecido, e a plataforma de educação para desenvolvedores não disse que tipo de dados acabou nas mãos erradas. O que sabemos é que as redefinições de senha foram aplicadas após os dois ataques.
Costumamos dizer nessas páginas que ninguém é imune a ataques cibernéticos, mas o fato de Chegg ter sofrido três violações de dados em tantos anos mostra claramente que a empresa tem sérios problemas de segurança cibernética. Vamos esperar que alguém os resolva antes do próximo ataque bem-sucedido.
