De Amerikaanse toezichthouder FTC heeft boekenbedrijf Chegg op de vingers getikt wegens een datalek waarbij de persoonlijke gegevens van veertig miljoen klanten op straat kwamen te liggen. Het ging onder andere om namen, e-mailadressen, met het zwakke MD5-algoritme gehashte wachtwoorden en voor sommige gebruikers ook informatie met betrekking tot onderwijsbeurzen, zoals geboortedata, informatie over het inkomen van de ouders, seksuele geaardheid en handicaps.

Chegg kreeg vanaf eind 2017 met meerdere datalekken te maken waardoor aanvallers toegang tot persoonlijke informatie kregen. Drie van de datalekken werden veroorzaakt door phishingaanvallen.

Het grootste datalek deed zich voor toen een voormalige contractor inloggegevens van Chegg gebruikte voor het downloaden van een database met de gegevens van veertig miljoen klanten. Een deel van de klantgegevens verscheen later op internet. Zo was het aanvallers gelukt om 25 miljoen wachtwoordhashes te kraken en het bijbehorende wachtwoord te achterhalen.

De FTC stelt dat Chegg geen gepaste beveiligingsmaatregelen heeft genomen om klantgegevens te beschermen. De Amerikaanse toezichthouder is van plan om Chegg geen boete op te leggen, maar gaat wel eisen aan het bedrijf stellen.

Alles bij de bron; Security