Sonntag, Dezember 4, 2022

Der Bildungstechnologie-Riese erhält ein F für Sicherheit, nachdem vertrauliche Informationen von 40 Millionen Benutzern gestohlen wurden

Laut FTC hat die nachlässige Datensicherheit beim Bildungstechnologieriesen Chegg die persönlichen Daten von Studenten und Arbeitern innerhalb von vier Jahren nicht nur einmal, sondern viermal auf verschiedene Weise offengelegt.

Als Reaktion darauf hat die US-Verbraucheraufsichtsbehörde dem Unternehmen heute angeordnet, Daten besser zu schützen, einschließlich der Verschlüsselung sensibler Informationen, der Bereitstellung einer Multi-Faktor-Authentifizierung für Benutzer und Mitarbeiter, der Begrenzung der Menge der gesammelten persönlichen Informationen sowie der Pflege und Schulung des Personals in Bezug auf Sicherheitspraktiken. Dinge, die schon vor langer Zeit hätten erledigt werden sollen.

Darüber hinaus stellte die FTC fest, dass Chegg nicht unbedingt alle 40 Millionen Benutzer und Mitarbeiter informierte, deren private Informationen während der vier Verstöße offengelegt wurden.

Also für eine FTC-Bestellung [PDF]Das Technologieunternehmen muss außerdem innerhalb der nächsten 60 Tage „jede Person benachrichtigen, deren Sozialversicherungsnummer, Finanzkontoinformationen, Geburtsdatum, Benutzerkonto-Anmeldeinformationen oder unverschlüsselte medizinische Informationen offengelegt wurden“.

„Chegg hat bei den sensiblen Informationen von Millionen von Studenten Abstriche gemacht“, sagte Samuel Levine, Direktor des Verbraucherschutzbüros der FTC, in einer Erklärung. „Die heutige Anordnung verlangt vom Unternehmen, die Sicherheitsmaßnahmen zu verschärfen, den Verbrauchern eine einfache Möglichkeit zu geben, ihre Daten zu löschen, und die Erfassung von Front-End-Informationen einzuschränken.“

Chegg bietet eine Vielzahl von Online-Bildungsdiensten und -produkten an, darunter E-Lehrbücher zur Miete, Hausaufgabenhilfe und Prüfungsvorbereitung, hauptsächlich für Schüler und Studenten. Laut einer früheren Beschwerde der FTC sammelt es auch eine Menge personenbezogener Daten [PDF].

„Zum Beispiel sammelte Chegg im Zusammenhang mit seinem Stipendiensuchdienst Informationen über die religiöse Konfession, das Erbe, das Geburtsdatum, die Einkommensspanne der Eltern, die sexuelle Orientierung und Behinderungen (zusammen die ‚Stipendienforschungsdaten‘) eines Benutzers“, bemerkte er .

Dies hätte zumindest einige Sicherheits- und Datenschutzalarme auslösen sollen, und anscheinend hat es das 2018 auch getan. Die FTC-Beschwerde zitierte eine interne E-Mail aus diesem Jahr, in der ein Mitarbeiter der Informationssicherheit von Chegg die Forschungsdaten des Stipendiums als „sehr sensibel“ bezeichnete.

Zusätzlich zu den Stipendienforschungsdaten, die das Technologieunternehmen sammelte und verwaltete, zeichnete Chegg für seine Online-Nachhilfedienste Studentenvideos auf und sammelte die üblichen Beschäftigungsinformationen seiner Mitarbeiter. Dazu gehören Mitarbeiternamen, Geburtsdaten, Sozialversicherungsnummern und Finanzinformationen.

Das Unternehmen speicherte all diese sensiblen Mitarbeiter- und Studentendaten in Amazon S3-Buckets und leistete dann schreckliche Arbeit, um Eindringlinge daran zu hindern, sie zu stehlen.

„Seit mindestens 2017 bis heute hat Chegg eine Reihe von Praktiken angewendet, die einzeln oder zusammengenommen keine angemessene Sicherheit bieten, um den unbefugten Zugriff auf die personenbezogenen Daten der Benutzer zu verhindern“, heißt es in der Beschwerde.

Die Wäscheliste, was Chegg angeblich falsch gemacht hat, liest sich wie ein Buch darüber, wie man für Dummies gehackt wird. Beispielsweise erlaubte das Unternehmen Mitarbeitern und Auftragnehmern, einen einzigen AWS-Zugriffsschlüssel zu verwenden, der vollständige Administratorrechte für alle Daten in S3-Datenbanken gewährte. Es scheiterte auch, Zugangsschlüssel zu S3-Datenbanken zu rotieren und persönliche Informationen im Klartext zu speichern, anstatt Verschlüsselung zu verwenden.

Bis mindestens April 2018 verwendete Chegg unsichere kryptografische Hash-Funktionen zum Schutz von Benutzerpasswörtern und hatte bis Januar 2021 auch keine Sicherheitsstandards oder -richtlinien, heißt es in der Beschwerde. Darüber hinaus löschte das Unternehmen keine Studenten- und Mitarbeiterdaten, nachdem diese nicht mehr benötigt wurden.

Schließlich hat Chegg seine Netzwerke und IT-Systeme nicht „angemessen“ auf Eindringlinge überwacht, die versuchen, einzudringen und persönliche Informationen zu stehlen, was „zur wiederholten Offenlegung dieser persönlichen Informationen geführt hat“, sagte die FTC.

Haben wir die vier Datenschutzverletzungen erwähnt?

Erstens fielen Chegg-Mitarbeiter 2017 auf einen Phishing-Betrug herein, der Kriminellen Zugang zu Direkteinzahlungsinformationen von Mitarbeitern verschaffte.

Ein Jahr später griff ein ehemaliger Auftragnehmer mit AWS-Root-Anmeldeinformationen auf eine der S3-Datenbanken von Chegg zu und stahl eine Datenbank mit den Daten von etwa 40 Millionen Benutzern. Dazu gehörten E-Mail-Adressen, Vor- und Nachnamen, Passwörter und bei einigen Nutzern Religionszugehörigkeit, Herkunft, Geburtsdatum, Einkommensspanne der Eltern, sexuelle Orientierung und Behinderung.

Später im Jahr 2018 benachrichtigte ein Threat-Intelligence-Unternehmen Chegg, dass eine Datei mit einigen der gestohlenen Informationen in einem Online-Forum zum Verkauf angeboten wurde.

„Chegg überprüfte die Datei im Rahmen seiner eigenen Untersuchung und stellte fest, dass sie unter anderem etwa 25 Millionen exfiltrierte Klartext-Passwörter enthielt, was bedeutet, dass die Angreifer den Hash für diese Passwörter gehackt hatten“, heißt es in der Beschwerde.

Als Reaktion darauf forderte Chegg etwa 40 Millionen Benutzer auf, ihre Passwörter zurückzusetzen. Aber es speicherte weiterhin die persönlichen Informationen der Schüler im Klartext, wurde uns gesagt.

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles