Chegg, Inc., vende productos y servicios educativos directamente a estudiantes de secundaria y universitarios. Eso incluye alquilar libros de texto, guiar a los clientes en su búsqueda de becas y ofrecer tutoría en línea. Pero según la FTC, las prácticas de seguridad laxas de la compañía tecnológica de ED dieron como resultado cuatro violaciones de datos separadas en un lapso de solo unos pocos años, lo que llevó a la apropiación indebida de información personal sobre aproximadamente 40 millones de consumidores. La queja de la FTC y algunas disposiciones notables en el acuerdo propuesto sugieren que es hora de un curso de actualización de seguridad de datos en Chegg. ¿Hay lecciones que su empresa puede aprender de dónde la FTC dice que Chegg no logró llegar a la calificación?
En el curso de su negocio, Chegg, con sede en California, recopiló un tesoro de información personal sobre muchos de sus clientes, incluida su afiliación religiosa, patrimonio, fecha de nacimiento, orientación sexual, discapacidades e ingresos de los padres. Incluso el empleado de Chegg a cargo de la ciberseguridad describió los datos recopilados como parte de su servicio de búsqueda de becas como "muy sensible".
Un componente clave de la infraestructura de tecnología de la información de Chegg fue el simple servicio de almacenamiento (S3), un servicio de almacenamiento en la nube ofrecido por Amazon Web Services (AWS) que Chegg solía almacenar una cantidad sustancial de datos de clientes y empleados. Querrá leer la queja por los detalles, pero la FTC cita una serie de ejemplos de lo que Chegg hizo, y no hizo, que fueron indicativos de las prácticas de seguridad laxas de la compañía. Por ejemplo, la FTC alega que:
- Chegg permitió a los empleados y contratistas de terceros acceder a las bases de datos S3 con una única clave de acceso que proporcionó privilegios administrativos completos sobre toda la información.
- Chegg no requirió autenticación multifactor para el acceso a la cuenta a las bases de datos S3.
- En lugar de encriptar los datos, Chegg almacenó la información personal de los usuarios y los empleados en texto plano.
- Hasta al menos en abril de 2018, Chegg "protegió" contraseñas con funciones de hash criptográficas obsoletas.
- Hasta al menos a abril de 2020, Chegg no pudo proporcionar una capacitación adecuada de seguridad de datos para empleados y contratistas.
- Chegg no tenía procesos establecidos para inventariar y eliminar la información personal de los clientes y los empleados una vez que ya no había una empresa para mantenerla.
- Chegg no pudo monitorear sus redes adecuadamente para los intentos no autorizados de colarse y transferir ilegalmente los datos confidenciales de su sistema.
¿Debería ser una sorpresa que la queja también cuente cuatro episodios separados que condujeron a la exposición ilegal de información personal? El incidente n. ° 1 surgió de los empleados de Chegg que cayeron a un ataque de phishing que permitió un acceso de ladrón de datos a la información de nómina de depósito directo de los empleados. El incidente n. ° 2 involucró a un ex contratista que utilizó la credencial de AWS de Chegg para obtener material confidencial de una de las bases de datos S3 de la compañía, información que finalmente se abrió paso en un sitio web público.
Luego vino el incidente #3: un ataque de phishing que recibió un ejecutivo de Chegg de alto nivel y permitió al intruso evitar el sistema de autenticación de correo electrónico multifactor de la compañía. Una vez en la casilla de correo electrónico del Ejecutivo, el intruso tuvo acceso a información personal sobre los consumidores, incluida la información financiera y médica. En el incidente #4, un empleado superior responsable de la nómina cayó para otro ataque de phishing, lo que le da acceso al intruso al sistema de nómina de la compañía. El intruso se fue con la información W-2 de aproximadamente 700 empleados actuales y anteriores, incluidas sus fechas de nacimiento y los números de Seguro Social.
En cada uno de los cuatro incidentes citados en la denuncia, la FTC alega que Chegg no había tomado medidas de precaución simples Eso probablemente habría ayudado a prevenir o detectar la amenaza para los datos de los consumidores y los empleados, por ejemplo, requerir que los empleados tomen capacitación de seguridad de datos sobre los signos reveladores de un intento de phishing.
Para resolver el caso, Chegg ha acordado una reestructuración integral de sus prácticas de protección de datos. Como parte de la orden propuesta, Chegg debe seguir un horario que establece la información personal que recopila, por qué recopila la información y cuándo eliminará los datos. Además, Chegg debe dar a los clientes acceso a la información recopilada sobre ellos y las solicitudes de honor para eliminar esos datos. Chegg también debe proporcionar a los clientes y empleados autenticación de dos factores u otro método de autenticación para ayudar a proteger sus cuentas. Una vez que la orden propuesta aparece en el Registro Federal, la FTC aceptará comentarios públicos durante 30 días.
¿Qué pueden aprender otras compañías de las lecciones de Chegg?
Ejercar especial cuidado al almacenar información confidencial. Una vez que su empresa tiene información confidencial en su posesión, ha aumentado la apuesta con su obligación de mantenerla segura. Y una vez que el negocio legítimo debe mantener que los datos han pasado, las compañías expertas en seguridad lo eliminan de manera segura. Pero quizás la pregunta preliminar es si realmente necesita ese tipo de datos confidenciales en primer lugar. Si no lo recolectas, no tienes que protegerlo.
Limite el acceso a información confidencial. Un pase de acceso en todo el escenario suena como una maravilla cuando su banda favorita llega a la ciudad, pero es una idea terrible para administrar datos en su empresa. Limite el acceso a empleados y contratistas para quienes esos datos son un componente esencial de su trabajo. Pero cuando el proyecto esté terminado o sus deberes cambien, corte su acceso de inmediato.
Responda a los incidentes de datos de inmediato y definitivamente. Tenía Chegg siguió los fundamentos descritos en Comience con la seguridad O la guía para llevar de cualquier número de acciones de seguridad de datos de la FTC, la compañía podría haber ahorrado a algunos de esos 40 millones de consumidores el dolor de cabeza de tener sus datos expuestos en primer lugar. Pero experimentar un incidente de seguridad de datos, y ciertamente cuatro incidentes de seguridad de datos, debería haber provocado una revisión exhaustiva de los procedimientos de Chegg.
Realizar capacitación de seguridad interna regular. Como parte de su proceso de incorporación, educe a nuevos empleados y contratistas sobre sus estándares de seguridad. Seguimiento periódicamente con refrescos y nuevamente cuando las amenazas y los riesgos han cambiado. Sabemos que el entrenamiento interno a veces puede inducir rollos de ojos, culpamos a esas horribles tiras de películas de clase de salud de la escuela secundaria, pero no hay una ley que requiere que la capacitación en seguridad de datos sea aburrida. Sí, debe involucrar a su personal de TI, pero también consultar con personas creativas de su empresa. El color, el video, los cuestionarios, las historias de IRL, etc., pueden ayudar a involucrar a su audiencia. No tienes que comenzar desde cero. La FTC’s Ciberseguridad para recursos de pequeñas empresas puede ofrecer algo de inspiración.
