Chegg besvikar igen: Ett tredje dataöverträdelse på tre år
Den 28 april medgav det amerikanska teknikföretaget Chegg att det hade drabbats av ett dataintrång. I ett brev som skickades till berörda individer tillkännagav Dana Jewell, Cheggs vicepresident, att den 9 april kompromitterade en hacker företagets system och lyckades med rekord för cirka 700 nuvarande och tidigare anställda.
Chegg fick reda på brottet en dag senare och det informerade omedelbart brottsbekämpning. Dana Jewell uppmanade potentiella offer att vara mer vaksamma, sa till dem att de kan dra nytta av kreditövervakningstjänster på företagets bekostnad och lovade att Chegg kommer att försöka förbättra sina skyddsåtgärder och undvika liknande incidenter i framtiden. Det är långt ifrån det största eller mest påverkande överträdelsen du någonsin kommer att se, men när du granskar det mer detaljerat kommer du att märka att problemet är mer betydelsefullt än det verkar i början.
Table of Contents
Chegg är ovillig att öppet tala om överträdelsen
Varje dag läcker data från miljontals människor ut på internet, och mot bakgrund av detta verkar bara 700 anställda som en blixt i pannan. Sätt dock numret i kontext så ser du att överträdelsen är ganska betydande. Enligt Cheggs senaste årsrapport hade företaget i slutet av 2019 drygt 1400 anställda, vilket plötsligt gör läckan ganska allvarligare. Som redan nämnts fungerar några av de människor som drabbats av attacken förra månaden inte längre för Chegg, men det är fortfarande att företaget har misslyckats med att skydda sina uppgifter från obehörig åtkomst.
Frågan om hur detta hände och varför förblir obesvarad. Chegg har inte avslöjat överträdelsen i en lagstiftningsansökan, och det finns inget pressmeddelande. TechCrunchs förfrågningar om ytterligare kommentarer avvisades också.
Den breda allmänheten skulle inte vara medveten om attacken om det inte var för förordningar, som dikterar att företag som har drabbats av hackare måste dela meddelanden om dataöverträdelser med advokaterna i vissa stater. Antalet berörda individer är faktiskt relativt litet, men eftersom ett offentligt företag har Chegg aktieägare som vill veta exakt vad som händer vid en viss tidpunkt. De kanske inte är nöjda med detaljerna kring just detta intrång.
Hackarna stal socialförsäkringsnummer
Du kanske har lagt märke till att Chegg erbjuder gratis kreditövervakningstjänster till potentiella offer, och de av er som har läst tillräckligt meddelanden om dataöverträdelser vet att detta är ett dåligt tecken. Det innebär vanligtvis att uppgifterna är tillräckligt känsliga för att underlätta identitetsstöld, och säkert nog, enligt meddelandet, de cyberbrottsliga med de berörda anställdas namn och personnummer.
Chegg är inte främling för dataöverträdelser
I den här attacken påverkades inte Cheggs användare, men detta var inte fallet under tidigare överträdelser. Pluralformen av "brott" är inte en skrivfel. Chegg led sin första attack i april 2018 men fick bara veta om den fem månader senare i september. Antalet berörda användare uppgick till 40 miljoner, och de läckta uppgifterna inkluderade e-postmeddelanden, fysiska adresser och hash-lösenord.
År 2019 meddelade även Thinkful, Cheggs nyaste dotterbolag vid den tiden, ett dataintrång. Antalet drabbade förblev okänt och utvecklarplattformen för utvecklare sa inte vilken typ av data som hamnade i fel händer. Det vi vet är att återställningar av lösenord verkställdes efter båda attackerna.
Vi har ofta sagt på dessa sidor att ingen är immun mot cyberattacker, men det faktum att Chegg har drabbats av tre dataöverträdelser på så många år visar tydligt att företaget har allvarliga cybersäkerhetsproblem. Låt oss hoppas att någon adresserar dem innan nästa framgångsrika attack.
