美國教育科技公司Chegg在2018年時,因大意原因被承包商使用登錄賬號存取第三方數據庫,使4,000萬名客戶敏感信息遭外洩。日前美國聯邦貿易委員會(FTC)就該事件對Chegg提出起訴,並發出命令限制該公司收集用戶數據的範圍。
FTC指出,Chegg因網絡安全失誤,洩露了4,000萬名客戶的敏感信息,當中包括姓名、電郵地址、密碼,甚至宗教、性取向和父母的收入範圍等內容,這些信息最終更通過網絡黑市出售。
登錄賬號沒要求多因素認證
FTC認為Chegg網絡安全意識薄弱,沒有採用「商業上合理的」保障措施,讓員工和承包商使用單一的登錄方式,而未有要求多因素認證(Multi-factor Authentication)。
此外,Chegg只以純文字檔案存儲客戶個人數據,並依賴「過時和薄弱」的密碼加密。直到2021年1月,Chegg不但已遭受三次網絡釣魚攻擊,卻沒有為員工提供足夠的安全培訓。
要求加強員工安全培訓
Chegg表示,已同意履行一項擬議的命令以作出補償,當中包括必須界定其收集的信息,並限制收集的範圍。該公司亦將建立多因素認證和一個全面的安全計劃,包括加密和安全培訓。同時,客戶將可以存取他們的數據,並要求Chegg刪除這些數據。