Zakelijk

Meerdere datalek suggereert dat Ed Tech Agency Cheg zijn huis niet heeft gedaan, klaagde FTC

Photo of Britt van den Heuvel Britt van den Heuvel11 maart 2025
4 4 minutes read


Cheg, Inc. verkoopt rechtstreeks educatieve producten en diensten aan studenten van de middelbare school en universiteit. Deze omvatten het huren van schoolboeken, het begeleiden van klanten op zoek naar hun beurs en online tutoringaanbiedingen. Volgens de FTC heeft de LAX -beveiligingspraktijk van het ED -technologiebedrijf echter een paar jaar vier afzonderlijke gegevens geschonden, waardoor het misbruik van ongeveer 1 miljoen klanten tot misbruik leidde. FTC -aantijgingen en enkele van de belangrijkste bepalingen van de voorgestelde schikking suggereren dat het tijd is voor de opfriscursus van Cheg’s Data Security Refresher. FTC zegt wat kan uw bedrijf leren van waar het Cheg -graad niet kon creëren?

Tijdens zijn bedrijf verzamelden veel klanten van Cheg in Californië een schat aan persoonlijke informatie, waaronder hun religieuze componenten, erfgoed, geboortedatum, seksuele houding, handicap en het inkomen van de ouders. Zelfs de Cheg -medewerker die verantwoordelijk is voor de Cyber ​​Critical beschrijft de informatie die is verzameld als onderdeel van zijn beurszoekdienst als “extreem gevoelig”.

Een van de belangrijkste ingrediënten in de infrastructuur van de informatietechnologie van Cheg was de Simple Storage Service (S3), een cloudopslagservice van Amazon Web Services (AWS), die Cheig gebruikte om gegevens van klanten en werknemers op te slaan. U wilt de klacht voor de details lezen, maar citeert een aantal voorbeelden van de FTC Cheg – en niet. FTC heeft bijvoorbeeld geklaagd dat:

  • Met de Cheg kunnen de medewerker en aannemers van derden toegang krijgen tot de S3-database met een enkele toegangssleutel die volledige administratieve faciliteiten op alle informatie biedt.
  • S3-databases vereisten geen Cheg multi-factor authenticatie voor toegang tot toegang.
  • In plaats van gegevens te coderen, heeft Cheg de persoonlijke informatie van gebruikers en werknemers in gewone teksten opgeslagen.
  • Tenminste tot april 2018, “beschermde” wachtwoorden met oude cryptografische hash -functies.
  • Tenminste tot april 2021 heeft de Cheg niet in staat om voldoende gegevensbescherming te geven aan werknemers en aannemers.
  • Nadat het bedrijf niet langer nodig was om het te onderhouden, was er geen proces om de persoonlijke informatie van klanten en werknemers te verwijderen en te verwijderen.
  • Cheg slaagde er niet in om adequate bedragen te controleren op ongeautoriseerde inspanningen om zijn netwerken te verzachten en illegaal overgedragen gevoelige gegevens uit zijn systeem.

Is het verrassend dat de klacht ook vier afzonderlijke afleveringen beschrijft die leiden tot de illegale manifestatie van persoonlijke informatie? Evenement #1 afgeleid van de Cheg -medewerkers die lagen voor de phishing -aanval waardoor een gegevensdief toegang heeft tot de op directe storting op basis van de werknemer op basis van salaris. In het geval #2 is betrokken bij een voormalige aannemer die het AWS -certificaat van Cheg gebruikte om gevoelig materiaal te bezetten uit een van de S3 -database van het bedrijf – informatie die uiteindelijk zijn weg heeft gevonden naar een openbare website.

Toen kwam #3: een phishing -aanval die een senior chag -directeur nam en de indringer toestond om het multifactor e -mailauthenticatiesysteem van het bedrijf te omzeilen. Eenmaal in het e -mailbox van de leidinggevende ontving de indringer toegang tot persoonlijke informatie over klanten met financiële en behandelingsinformatie. In het evenement #4 werd een senior medewerker die verantwoordelijk is voor salarissen aangevallen in een andere phishing -aanval, wat resulteerde in toegang tot het betaalsysteem van het bedrijf. De indringer heeft ongeveer 700 huidige en voormalige medewerkers met W -2 informatie achtergelaten met hun geboortedatum en sofinummer.

In elk van de vier aangehaalde gebeurtenissen die bij de klacht werden aangehaald, klaagde de FTC dat Cheg geen algemene alert -actie ondernam Het heeft waarschijnlijk geholpen om de gegevens van consumenten en werknemers te voorkomen of te identificeren – bijvoorbeeld, de werknemers moeten gegevensbescherming opleiden bij een phishing -poging op Teletel -tekenen.

Om de zaak te regelen, stemde Cheg in met een uitgebreide wederopbouw van zijn gegevensbeschermingspraktijk. Als onderdeel van de voorgestelde bestelling moet Cheg een schema volgen dat persoonlijke informatie bepaalt die deze verzamelt, waarom deze informatie verzamelt en wanneer het gegevens zal verwijderen. Bovendien moet Cheg klanten toegang geven tot informatie die over hen is verzameld en de eerverzoeken om die gegevens te wissen. Cheg moet een bi-factor authenticatie of een andere authenticatiemethode bieden om klanten en werknemers te helpen hun accounts te beschermen. Als de voorgestelde bestelling in het federale register verschijnt, ontvangt de FTC 30 dagen openbare opmerkingen.

Wat kunnen andere bedrijven leren van Cheg -lessen?

Oefen speciale zorg en behoud van gevoelige informatie. Zodra u gevoelige informatie hebt in het bezit van uw bedrijf, bent u voorafgegaan aan de verplichting om het te beschermen. En zodra de geldige onderneming de gegevens moet bijhouden die zijn afgetrokken, regelen de beveiligings-intellectuele bedrijven deze veilig. Maar misschien is de eerste vraag of u in de eerste plaats echt dit soort vertrouwelijke gegevens nodig hebt. Als je het niet verzamelt, hoef je het niet te beschermen.

Beperk de toegang tot gevoelige informatie. Een volledig toegankelijke backstage-pas klinkt als een explosie wanneer je favoriete band aankomt in de stad, maar het is een vreselijk idee om gegevens in je bedrijf te verwerken. Beperk de toegang tot werknemers en aannemers voor wie die gegevens een onderdeel van hun werk zijn. Maar wanneer het project is voltooid of hun taken veranderen, snijd ze dan toegang.

Reageer onmiddellijk en precies op gegevensgebeurtenissen. Was cheig Volgens de beschreven basiskwesties Begin met bescherming Of acceptabele aanwijzingen van een aantal FTC -activiteiten voor gegevensbescherming, kan het bedrijf hen in de eerste plaats tegen de hoofdpijn beschermen bij hun 40 miljoen klanten. Maar de ervaring van een gebeurtenis voor gegevensbescherming – en natuurlijk vier gebeurtenissen voor gegevensbescherming – een brede beoordeling van de Cheg -methode had moeten beginnen.

Voer regelmatige interne beveiligingsopleiding uit. Als onderdeel van uw on-boarding-proces, informeer nieuwe werknemers en aannemers over uw beschermingsnormen. Volg periodiek met verfrissingen en opnieuw wanneer bedreigingen en risico’s veranderen. We weten dat interne training soms oogrollen kan veroorzaken-we hebben die vreselijke stromen van de middelbare school de schuld gegeven, maar er is geen wet om saai te zijn voor training voor gegevensbescherming. Ja, u moet betrokken zijn bij uw IT -personeel, maar u moet ook de creatieve mensen van uw organisatie raadplegen. Kleuren, video’s, quizzen, IRL -verhalen enz. Kunnen u helpen bij het betrekken van uw publiek. U hoeft niet helemaal opnieuw te beginnen. Van FTC Cybers Kan wat inspiratie geven.



Bronlink

Photo of Britt van den Heuvel Britt van den Heuvel11 maart 2025
4 4 minutes read
Photo of Britt van den Heuvel

Britt van den Heuvel

Related Articles

Hole Court beschuldigd van het doden van het Russische schip Captain UK News

15 maart 2025

Blijf op de hoogte met bescherming: FTC -bronnen voor uw bedrijf

19 maart 2025

Binnen ‘ongebruikelijke verdachten’ van binnen: Malcolm Gladwell en een gesprek met Kenia Barris

15 maart 2025

EU is van plan investeerders terug te lokken naar Europa

18 maart 2025
© Copyright 2025, All Rights Reserved  
Back to top button