Vous pouvez faire confiance à Chegg pour vos manuels ou vos cours particuliers, mais les régulateurs ne sont pas aussi confiants. La Federal Trade Commission a déposé une plainte accusant le fournisseur de technologies éducatives Chegg de pratiques de sécurité « imprudentes » qui compromettent les données personnelles depuis 2017. Parmi les violations, la société aurait exposé des informations sensibles pour environ 40 millions de clients en 2018 après qu’un ancien sous-traitant ait utilisé leur identifiant. pour accéder à une base de données tierce. Le contenu comprenait des noms, des adresses e-mail, des mots de passe et même du contenu comme la religion, l’orientation sexuelle et les tranches de revenus des parents. Les informations ont finalement été vendues sur le marché noir en ligne.
Certaines des informations volées appartenaient à des employés. Chegg a exposé les numéros de sécurité sociale, les données médicales et d’autres détails sur les travailleurs.
La FTC allègue en outre que Chegg n’a pas utilisé de garanties « commercialement raisonnables ». Il aurait permis aux employés et aux sous-traitants d’utiliser une connexion unique, n’exigeait pas d’authentification multifacteur et ne recherchait pas les menaces. L’entreprise a stocké les données personnelles en texte clair et s’est appuyée sur un cryptage « obsolète et faible » pour les mots de passe, ajoute la Commission. Les responsables affirment également que Chegg n’avait même pas de politique de sécurité écrite jusqu’en janvier 2021 et n’a pas fourni une formation suffisante en matière de sécurité malgré trois attaques de phishing.
Chegg a accepté d’honorer une ordonnance proposée pour faire amende honorable, a déclaré la FTC. L’entreprise devra à la fois définir les informations qu’elle collecte et limiter l’étendue de cette collecte. Il instituera une authentification multifacteur et un programme de sécurité « complet » qui comprend une formation au cryptage et à la sécurité. Les clients auront accès à leurs données et seront autorisés à demander à Chegg de supprimer ces données.
Le fournisseur n’est pas le seul à faire face à la répression gouvernementale pour des problèmes de sécurité. Uber a réglé le problème avec le ministère de la Justice en juillet pour avoir omis d’informer les clients d’une violation majeure des données en 2016, tandis que la FTC a récemment pénalisé Drizly et son PDG pour des manquements présumés qui ont conduit à un incident en 2020. Le gouvernement est clairement désireux d’empêcher les violations de données et de donner l’exemple des entreprises avec des mesures de sécurité inférieures à la moyenne.
Dans une déclaration à Engadget, Chegg dit qu’il traite la confidentialité des données comme une « priorité absolue ». La société a coopéré avec la FTC et « se conformera pleinement » à l’ordonnance de la Commission. Il ajoute qu’il n’a fait face à aucune amende et pense que cela reflète sa position améliorée en matière de sécurité. Vous pouvez lire la réponse complète ci-dessous.
« La confidentialité des données est une priorité absolue pour Chegg. Chegg a travaillé en coopération avec la Federal Trade Commission sur ces questions pour trouver un résultat mutuellement acceptable et se conformera pleinement aux mandats définis dans l’ordonnance administrative de la Commission. Les incidents dans la plainte de la Federal Trade Commission concernaient à des problèmes survenus il y a plus de deux ans. Aucune amende n’a été imposée, ce qui, selon nous, témoigne de nos pratiques de sécurité solides actuelles, ainsi que de nos efforts pour améliorer continuellement notre programme de sécurité. Chegg s’engage entièrement à protéger les données des utilisateurs et a travaillé avec des organisations de confidentialité réputées pour améliorer nos mesures de sécurité et poursuivra nos efforts. »
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.