Η Chegg, Inc., πωλεί εκπαιδευτικά προϊόντα και υπηρεσίες απευθείας στους φοιτητές γυμνασίου και κολλεγίων. Αυτό περιλαμβάνει την ενοικίαση εγχειριδίων, την καθοδήγηση των πελατών στην αναζήτηση υποτροφιών και την προσφορά ηλεκτρονικής διδασκαλίας. Ωστόσο, σύμφωνα με την FTC, οι χαλαρές πρακτικές ασφαλείας της ED Tech, οδήγησαν σε τέσσερις ξεχωριστές παραβιάσεις δεδομένων σε διάστημα μόλις λίγων ετών, οδηγώντας στην υπεξαίρεση προσωπικών πληροφοριών για περίπου 40 εκατομμύρια καταναλωτές. Η καταγγελία της FTC και ορισμένες αξιοσημείωτες διατάξεις στον προτεινόμενο διακανονισμό υποδηλώνουν ότι ήρθε η ώρα για ένα μάθημα ανανέωσης ασφαλείας δεδομένων στο Chegg. Υπάρχουν μαθήματα που η εταιρεία σας μπορεί να μάθει από πού η FTC λέει ότι ο Chegg απέτυχε να κάνει τον βαθμό;
Κατά τη διάρκεια της επιχείρησής της, η Chegg με έδρα την Καλιφόρνια συγκέντρωσε έναν θησαυρό προσωπικών πληροφοριών για πολλούς από τους πελάτες της, συμπεριλαμβανομένης της θρησκευτικής τους συνεργασίας, της κληρονομιάς, της ημερομηνίας γέννησης, του σεξουαλικού προσανατολισμού, των αναπηριών και των εισοδημάτων των γονέων. Ακόμη και ο υπάλληλος της Chegg που είναι υπεύθυνος για την ασφάλεια στον κυβερνοχώρο περιέγραψε τα δεδομένα που συγκεντρώθηκαν ως μέρος της υπηρεσίας αναζήτησης υποτροφιών ως “πολύ ευαίσθητες”.
Ένα βασικό στοιχείο της τεχνολογίας της τεχνολογίας της Chegg ήταν η Simple Service Service Service (S3), μια υπηρεσία αποθήκευσης cloud που προσέφερε η Amazon Web Services (AWS) που η Chegg χρησιμοποίησε για να αποθηκεύσει ένα σημαντικό ποσό δεδομένων πελατών και εργαζομένων. Θα θελήσετε να διαβάσετε την καταγγελία για τις λεπτομέρειες, αλλά η FTC αναφέρει πολλά παραδείγματα για το τι έκανε ο Chegg – και δεν έκανε – που ήταν ενδεικτικά των πρακτικών ασφαλείας της εταιρείας. Για παράδειγμα, η FTC ισχυρίζεται ότι:
- Ο Chegg επέτρεψε στους υπαλλήλους και τους εργολάβους τρίτων να έχουν πρόσβαση στις βάσεις δεδομένων S3 με ένα μόνο κλειδί πρόσβασης που παρείχε πλήρη διοικητικά προνόμια σε όλες τις πληροφορίες.
- Ο Chegg δεν απαιτούσε έλεγχο ταυτότητας πολλαπλών παραγόντων για πρόσβαση στο λογαριασμό στις βάσεις δεδομένων S3.
- Αντί να κρυπτογραφούν τα δεδομένα, τα προσωπικά στοιχεία των χρηστών και των εργαζομένων του Chegg αποθηκεύουν σε απλό κείμενο.
- Μέχρι τουλάχιστον τον Απρίλιο του 2018, οι “προστατευμένοι” κωδικοί πρόσβασης Chegg με ξεπερασμένες λειτουργίες κρυπτογραφικού κατακερματισμού.
- Μέχρι τουλάχιστον τον Απρίλιο του 2020, ο Chegg απέτυχε να παράσχει επαρκή εκπαίδευση για την ασφάλεια των δεδομένων για τους υπαλλήλους και τους εργολάβους.
- Ο Chegg δεν διέθετε διαδικασίες για την απογραφή και τη διαγραφή των προσωπικών πληροφοριών των πελατών και των εργαζομένων όταν δεν υπήρχε πλέον επιχειρηματική ανάγκη να το διατηρήσει.
- Η Chegg απέτυχε να παρακολουθεί επαρκώς τα δίκτυά του για μη εξουσιοδοτημένες προσπάθειες να γλιστρήσει και να μεταφέρει παράνομα ευαίσθητα δεδομένα από το σύστημά του.
Πρέπει να αποτελεί έκπληξη το γεγονός ότι η καταγγελία αναφέρει επίσης τέσσερα ξεχωριστά επεισόδια που οδήγησαν στην παράνομη έκθεση των προσωπικών πληροφοριών; Το περιστατικό #1 προέκυψε από τους υπαλλήλους του Chegg που πέφτουν για μια επίθεση ηλεκτρονικού “ψαρέματος” που επέτρεψε πρόσβαση σε κλέφτες δεδομένων στις πληροφορίες άμεσης μισθοδοσίας των εργαζομένων. Το περιστατικό #2 περιελάμβανε έναν πρώην εργολάβο που χρησιμοποίησε τα πιστοποιητικά AWS του Chegg για να αρπάξει ευαίσθητο υλικό από μία από τις βάσεις δεδομένων S3 της εταιρείας – πληροφορίες που τελικά βρήκαν το δρόμο του σε έναν δημόσιο ιστότοπο.
Στη συνέχεια ήρθε το περιστατικό #3: μια επίθεση ηλεκτρονικού ψαρέματος που πήρε ένα ανώτερο στέλεχος του Chegg και επέτρεψε στον εισβολέα να παρακάμψει το σύστημα ελέγχου ταυτότητας πολλαπλών παραγόντων της εταιρείας. Μόλις στο πλαίσιο ηλεκτρονικού ταχυδρομείου της εκτελεστικής εξουσίας, ο εισβολέας είχε πρόσβαση σε προσωπικές πληροφορίες σχετικά με τους καταναλωτές, συμπεριλαμβανομένων των οικονομικών και ιατρικών πληροφοριών. Στο περιστατικό #4, ένας ανώτερος υπάλληλος που είναι υπεύθυνος για την μισθοδοσία έπεσε για μια άλλη επίθεση ηλεκτρονικού “ψαρέματος”, δίνοντας έτσι στον εισβολέα πρόσβαση στο σύστημα μισθοδοσίας της εταιρείας. Ο εισβολέας έφυγε με τις πληροφορίες W-2 περίπου 700 σημερινών και πρώην υπαλλήλων, συμπεριλαμβανομένων των ημερομηνιών γέννησης και των αριθμών κοινωνικής ασφάλισης.
Σε κάθε ένα από τα τέσσερα περιστατικά που αναφέρονται στην καταγγελία, η FTC ισχυρίζεται ότι ο Chegg δεν κατάφερε να λάβει απλά προληπτικά βήματα Αυτό θα μπορούσε πιθανότατα να βοηθήσει στην πρόληψη ή την ανίχνευση της απειλής για τα δεδομένα των καταναλωτών και των εργαζομένων – για παράδειγμα, απαιτώντας από τους υπαλλήλους να λαμβάνουν εκπαίδευση για την ασφάλεια των δεδομένων σχετικά με τα ενδεικτικά σημάδια μιας προσπάθειας ηλεκτρονικού “ψαρέματος”.
Για να διευθετήσει την υπόθεση, ο Chegg συμφώνησε σε μια ολοκληρωμένη αναδιάρθρωση των πρακτικών προστασίας των δεδομένων. Στο πλαίσιο της προτεινόμενης παραγγελίας, ο Chegg πρέπει να ακολουθήσει ένα πρόγραμμα που καθορίζει τις προσωπικές πληροφορίες που συλλέγει, γιατί συλλέγει τις πληροφορίες και όταν θα διαγράψει τα δεδομένα. Επιπλέον, ο Chegg πρέπει να δώσει στους πελάτες πρόσβαση στις πληροφορίες που συλλέγονται σχετικά με αυτές και να τιμήσουν τα αιτήματα για τη διαγραφή αυτών των δεδομένων. Η Chegg πρέπει επίσης να παρέχει στους πελάτες και τους υπαλλήλους με έλεγχο ταυτότητας δύο παραγόντων ή άλλη μέθοδο ελέγχου ταυτότητας για να προστατεύσουν τους λογαριασμούς τους. Μόλις εμφανιστεί η προτεινόμενη εντολή στο ομοσπονδιακό μητρώο, η FTC θα δεχθεί δημόσια σχόλια για 30 ημέρες.
Τι μπορούν να μάθουν άλλες εταιρείες από τα μαθήματα του Chegg;
Άσκηση ειδικής φροντίδας κατά την αποθήκευση ευαίσθητων πληροφοριών. Μόλις η εταιρεία σας έχει ευαίσθητες πληροφορίες στην κατοχή της, έχετε αυξήσει την υποχρέωση σας να τη διατηρήσετε ασφαλή. Και μόλις οι νόμιμες επιχειρήσεις πρέπει να διατηρήσουν ότι τα δεδομένα έχουν περάσει, οι εταιρείες ασφαλείας-καταλαβαίνω με ασφάλεια. Αλλά ίσως το προκαταρκτικό ερώτημα είναι αν χρειάζεστε πραγματικά τέτοια εμπιστευτικά δεδομένα στην πρώτη θέση. Εάν δεν το συλλέξετε, δεν χρειάζεται να το προστατεύσετε.
Περιορίστε την πρόσβαση σε ευαίσθητες πληροφορίες. Ένα All-Access Backstage Pass ακούγεται σαν μια έκρηξη όταν η αγαπημένη σας μπάντα έρχεται στην πόλη, αλλά είναι μια τρομερή ιδέα για τη διαχείριση δεδομένων στην εταιρεία σας. Περιορίστε την πρόσβαση στους υπαλλήλους και τους εργολάβους για τους οποίους τα δεδομένα αυτά αποτελούν βασικό στοιχείο της δουλειάς τους. Αλλά όταν ολοκληρωθεί το έργο ή τα καθήκοντά τους αλλάζουν, κόψτε αμέσως την πρόσβασή τους.
Απαντήστε σε περιστατικά δεδομένων αμέσως και οριστικά. Είχε Chegg ακολούθησε τις θεμελιώδεις αρχές που περιγράφηκαν στο Ξεκινήστε με ασφάλεια Ή η καθοδήγηση από οποιονδήποτε αριθμό ενεργειών ασφαλείας των δεδομένων της FTC, η εταιρεία ενδέχεται να έχει εξοικονομήσει μερικά από αυτά τα 40 εκατομμύρια καταναλωτές τον πονοκέφαλο της εκτέλεσης των δεδομένων τους. Αλλά βιώνοντας ένα περιστατικό ασφάλειας δεδομένων – και σίγουρα τέσσερα περιστατικά ασφάλειας δεδομένων – θα έπρεπε να προκάλεσε μια ολοκληρωμένη ανασκόπηση των διαδικασιών του Chegg.
Διεξάγετε τακτική εκπαίδευση ασφαλείας στο σπίτι. Στο πλαίσιο της διαδικασίας επιβίβασης, εκπαιδεύστε νέους υπαλλήλους και εργολάβους σχετικά με τα πρότυπα ασφαλείας σας. Παρακολούθηση περιοδικά με ανανέωση και πάλι όταν οι απειλές και οι κίνδυνοι έχουν αλλάξει. Γνωρίζουμε ότι η εκπαίδευση στο σπίτι μπορεί μερικές φορές να προκαλέσει ρολά ματιών-κατηγορούμε αυτές τις φοβετές ταινίες ταινιών για την υγεία του γυμνασίου-αλλά δεν υπάρχει κανένας νόμος που να απαιτεί την εκπαίδευση για την ασφάλεια των δεδομένων να είναι βαρετή. Ναι, θα πρέπει να εμπλέξετε το προσωπικό σας, αλλά και να συμβουλευτείτε τους δημιουργικούς ανθρώπους στην εταιρεία σας. Χρώμα, βίντεο, κουίζ, ιστορίες IRL κ.λπ., μπορούν να βοηθήσουν στην εμπλοκή του ακροατηρίου σας. Δεν χρειάζεται να ξεκινήσετε από το μηδέν. Τα FTC’s Ασφάλεια στον κυβερνοχώρο για πόρους μικρών επιχειρήσεων μπορεί να προσφέρει κάποια έμπνευση.
