De Amerikaanse toezichthouder FTC heeft boekenbedrijf Chegg op de vingers getikt wegens een datalek waarbij de persoonlijke gegevens van veertig miljoen klanten op straat kwamen te liggen. Het ging onder andere om namen, e-mailadressen, met het zwakke MD5-algoritme gehashte wachtwoorden en voor sommige gebruikers ook informatie met betrekking tot onderwijsbeurzen, zoals geboortedata, informatie over het inkomen van de ouders, seksuele geaardheid en handicaps.

Volgens de FTC had Chegg de gegevens van klanten niet goed beveiligd. Het Amerikaanse bedrijf verhuurt boeken, verzorgt online lessen en biedt andere diensten voor leerlingen. Chegg kreeg vanaf eind 2017 met meerdere datalekken te maken waardoor aanvallers toegang tot persoonlijke informatie kregen. Drie van de datalekken werden veroorzaakt door phishingaanvallen.

Het grootste datalek deed zich voor toen een voormalige contractor inloggegevens van Chegg gebruikte voor het downloaden van een database met de gegevens van veertig miljoen klanten. Een deel van de klantgegevens verscheen later op internet. Zo was het aanvallers gelukt om 25 miljoen wachtwoordhashes te kraken en het bijbehorende wachtwoord te achterhalen.

De FTC stelt dat Chegg geen gepaste beveiligingsmaatregelen heeft genomen om klantgegevens te beschermen. Zo waren medewerkers niet verplicht om multifactorauthenticatie te gebruiken bij het inloggen op externe databases, gebruikten medewerkers en contractors dezelfde "single AWS access key" om op de S3-databases van Chegg in te loggen en werd het netwerk en databases niet op dreigingen gemonitord. Verder werden klantgegevens onversleuteld opgeslagen en paste Chegg een zwak hashing-algoritme toe. Zelfs na de drie phishingaanvallen ontbrak er adequate securitytraining voor personeel en een beveiligingsbeleid.

De Amerikaanse toezichthouder is van plan om Chegg geen boete op te leggen, maar gaat wel eisen aan het bedrijf stellen. Zo moet dat de dataverzameling beperken, klanten de gelegenheid geven om hun data in te zien en te verwijderen, MFA implementeren en een beveiligingsprogramma uitrollen, onder andere voor het versleutelen van klantdata en het trainen van personeel. Het publiek kan nu dertig dagen op het voorstel van de FTC reageren, waarna het definitief kan worden.