(图片由Pavlo Gonchar/SOPA Images/LightRocket via Getty Images)
美国联邦贸易委员会正迫使家庭作业应用程序供应商Chegg因未能阻止过去四次数据泄露,公司将改进网络安全措施。
联邦贸易委员会指责(在一个新窗口中打开)Chegg指责该公司“利用数百万学生的敏感信息走捷径”,并指出这家加州公司在安全方面的立场“粗心大意”。
美国联邦贸易委员会消费者保护局局长塞缪尔•莱文表示:“今天的命令要求该公司加强安全保障措施,为消费者提供删除数据的简便方式,并限制前端的信息收集。”
据公平交易委员会称,三星电子曾先后三次遭受数据泄露网络钓鱼2017年、2019年和2020年对Chegg员工的攻击。该监管机构表示:“这些攻击暴露了Chegg员工的敏感数据,包括医疗和财务信息。”
此外,Chegg未能通过执行多因素身份验证或要求员工接受识别网络钓鱼威胁的培训。
2018年,这家教育提供商还遭遇了一起事件,一名前承包商利用公司AWS云服务器的根登录名被广泛共享给员工和承包商的事实,窃取了4000万用户的数据。被盗的数据包括Chegg的用户名、电子邮件地址、出生日期、父母的收入范围、性取向和残疾,后来在一个在线论坛上发现了这些数据。
据公平交易委员会透露,Chegg在事件发生后也未能保护用户的敏感信息。“例如,Chegg继续在其AWS S3存储桶中以纯文本形式存储消费者个人信息,”监管机构称。
作为回应,联邦贸易委员会的命令要求教育提供商加强其网络安全的方法。这包括为用户和员工提供多因素身份验证操作,实施系统来监控通过公司网络的IT访问,并要求员工定期接受安全培训。
Chegg在一份声明中表示,它与联邦贸易委员会就同意令进行了合作。“联邦贸易委员会(Federal Trade Commission)投诉中的事件与两年多前发生的问题有关。没有进行罚款评估。”“我们相信,我们与联邦贸易委员会的积极谈判表明了我们目前强有力的安全措施,以及我们不断改进安全项目的努力。Chegg完全致力于保护用户的数据,并已与著名的隐私保护组织合作,改善我们的安全措施,并将继续我们的努力。”
联邦贸易委员会的命令意味着Chegg避免了一笔巨额罚款。然而,委员会警告说,如果Chegg在未来被发现违反了联邦贸易委员会的规定,它可能对每项违规行为处以高达46,517美元的民事罚款。上周,委员会也宣布发布针对酒类供应商Drizly在2020年未能防止数据泄露的类似命令。
