Чегг снова разочаровывает: третье нарушение данных за три года
28 апреля американская образовательная технологическая компания Chegg призналась, что пострадала от утечки данных. В письме, адресованном пострадавшим, Дана Джуэлл, вице-президент Chegg, объявила, что 9 апреля хакер взломал системы компании и покончил с записями около 700 нынешних и бывших сотрудников.
Чегг узнал о нарушении через день, и об этом сразу же сообщили в правоохранительные органы. Дана Джуэлл призвала потенциальных жертв быть более бдительными, сказала, что они могут воспользоваться услугами кредитного мониторинга за счет компании, и пообещала, что Chegg постарается улучшить свои гарантии и избежать подобных инцидентов в будущем. Это далеко не самое крупное или наиболее серьезное нарушение, которое вы когда-либо видели, но когда вы изучите его более подробно, вы заметите, что проблема более существенная, чем кажется на первый взгляд.
Table of Contents
Чегг не хочет открыто говорить о нарушении
Каждый день данные миллионов людей просачиваются в Интернет, и в свете этого всего лишь 700 сотрудников кажутся мгновенной вспышкой. Однако поместите число в контекст, и вы увидите, что нарушение является довольно значительным. Согласно последнему годовому отчету Чегга, в конце 2019 года в компании работало чуть более 1400 человек, что внезапно делает утечку более серьезной. Как уже упоминалось, некоторые из людей, пострадавших от атаки в прошлом месяце, больше не работают на Чегга, но факт остается фактом: компания не смогла защитить свои данные от несанкционированного доступа.
Вопрос о том, как это произошло и почему остается без ответа. Чегг не раскрыл нарушения в нормативной документации, и пресс-релиза нет. Запросы TechCrunch на дальнейшие комментарии также были отклонены.
Широкая общественность не знала бы об атаке, если бы не нормативные акты, которые предписывают компаниям, которые пострадали от хакеров, должны делиться своими уведомлениями о нарушении данных с Генеральными прокурорами в некоторых штатах. Действительно, число пострадавших лиц относительно невелико, но, будучи публичной компанией, у Чегга есть акционеры, которые хотели бы точно знать, что происходит в любой момент времени. Они могут быть не очень довольны деталями вокруг этого конкретного нарушения.
Хакеры украли номера социального страхования
Возможно, вы заметили, что Chegg предлагает бесплатные услуги мониторинга кредита потенциальным жертвам, и те из вас, кто прочитал достаточно уведомлений о нарушении данных, знают, что это плохой знак. Как правило, это означает, что данные достаточно конфиденциальны, чтобы облегчить кражу личных данных, и, согласно уведомлению, киберпреступники скрылись с именами и номерами социального страхования пострадавших сотрудников.
Чегг не привыкать к нарушениям данных
В этой конкретной атаке пользователи Chegg не были затронуты, но это не имело место во время предыдущих нарушений. Форма множественного числа "нарушение" не опечатка. Чегг перенес свою первую атаку в апреле 2018 года, но узнал об этом только через пять месяцев в сентябре. Число затронутых пользователей составило 40 миллионов, и утечка данных включала электронные письма, физические адреса и хешированные пароли.
В 2019 году Thinkful, новейшая в то время дочерняя компания Chegg, также объявила о нарушении данных. Число затронутых людей оставалось неизвестным, и образовательная платформа разработчиков не сказала, какие данные оказались в чужих руках. Что мы знаем, так это то, что сброс паролей был принудительным после обеих атак.
На этих страницах мы часто говорили, что никто не застрахован от кибератак, но тот факт, что Чегг перенес три утечки данных в течение многих лет, ясно показывает, что у компании есть серьезные проблемы с кибербезопасностью. Будем надеяться, что кто-то обращается к ним до следующей успешной атаки.
