美国联邦贸易委员会正在强制家庭作业应用程序提供商Chegg由于未能阻止过去四次数据泄露,该公司将改进网络安全措施。
联邦贸易委员会指责(在新窗口打开)Chegg称其“利用数百万学生的敏感信息走捷径”,并指出这家加州公司在安全方面的立场“粗心”。
“今天的命令要求该公司加强安全保障,为消费者提供一种简单的删除数据的方法,并限制在前端收集信息,”联邦贸易委员会消费者保护局局长塞缪尔·莱文(Samuel Levine)说。
据联邦贸易委员会称,该公司从成功开始遭受了三次数据泄露网络钓鱼在2017年,2019年和2020年袭击了Chegg的员工。监管机构表示:“这些攻击暴露了Chegg员工的敏感数据,包括医疗和财务信息。”
此外,Chegg未能通过实施多因素身份验证或要求员工接受识别网络钓鱼威胁的培训,FTC补充道。
2018年,这家教育提供商还遭遇了一起违规事件,一名前承包商利用公司AWS云服务器的根登录名被员工和承包商广泛共享的事实,窃取了4000万用户的数据。被盗数据包括Chegg的用户名、电子邮件地址、出生日期、父母的收入范围、性取向和残疾,后来在一个在线论坛上发现了这些数据。
据联邦贸易委员会称,Chegg在事件发生后仍未能保护用户的敏感数据。该监管机构称:“例如,Chegg继续在其AWS S3存储桶中以纯文本形式存储消费者个人信息。”
作为回应,联邦贸易委员会的命令要求教育提供商加强其网络安全方法。这包括为用户和员工提供多因素身份验证操作,实施系统来监控公司网络上的IT访问,并要求员工定期接受安全培训。
Chegg在一份声明中表示,它与联邦贸易委员会就同意令进行了合作。“联邦贸易委员会投诉中的事件与两年多前发生的问题有关。没有罚款评估,”该公司表示。“我们相信,我们与联邦贸易委员会的积极谈判表明了我们目前强有力的安全实践,以及我们不断改进安全计划的努力。Chegg完全致力于保护用户数据,并与信誉良好的隐私组织合作改善我们的安全措施,并将继续努力。”
联邦贸易委员会的命令意味着Chegg避免了一笔巨额罚款。然而,该委员会警告说,如果Chegg未来被发现违反联邦贸易委员会的规定,它可能会对每项违规行为处以高达46,517美元的民事罚款。上周,欧盟委员会也宣布了这一决定发布酒类供应商Drizly也因未能防止2020年的数据泄露而受到类似的命令。