美國教育科技公司Chegg在2018年時，因大意原因被承包商使用登錄賬號存取第三方數據庫，使4,000萬名客戶敏感信息遭外洩。日前美國聯邦貿易委員會（FTC）就該事件對Chegg提出起訴，並發出命令限制該公司收集用戶數據的範圍。

FTC指出，Chegg因網絡安全失誤，洩露了4,000萬名客戶的敏感信息，當中包括姓名、電郵地址、密碼，甚至宗教、性取向和父母的收入範圍等內容，這些信息最終更通過網絡黑市出售。

登錄賬號沒要求多因素認證

FTC認為Chegg網絡安全意識薄弱，沒有採用「商業上合理的」保障措施，讓員工和承包商使用單一的登錄方式，而未有要求多因素認證（Multi-factor Authentication）。

此外，Chegg只以純文字檔案存儲客戶個人數據，並依賴「過時和薄弱」的密碼加密。直到2021年1月，Chegg不但已遭受三次網絡釣魚攻擊，卻沒有為員工提供足夠的安全培訓。

要求加強員工安全培訓

Chegg表示，已同意履行一項擬議的命令以作出補償，當中包括必須界定其收集的信息，並限制收集的範圍。該公司亦將建立多因素認證和一個全面的安全計劃，包括加密和安全培訓。同時，客戶將可以存取他們的數據，並要求Chegg刪除這些數據。