Die amerikanische Federal Trade Commission (FTC) hat Klage gegen das Unternehmen für Bildungstechnologie Chegg erhoben. Die Plattform hilft Schülern und Studenten unter anderem bei den Hausaufgaben, bei der Vorbereitung für Klausuren und allgemein beim Lernen.

Beim Thema Datensicherheit hat Chegg aber selbst noch einiges zu lernen, wenn es nach der FTC geht. In einer Pressemitteilung teilt diese mit, dass sie Klage gegen das Unternehmen wegen „sorglose Sicherheit, die personenbezogene Daten von Millionen von Kunden preisgab” erhoben hat.

„Chegg hat die sensiblen Informationen von Millionen von Schülern sorglos behandelt“, sagte Samuel Levine, Direktor des Verbraucherschutzbüros der FTC. „Die heutige Anordnung erfordert, dass das Unternehmen die Sicherheitsvorkehrungen verstärkt, den Verbrauchern eine einfache Möglichkeit bietet, ihre Daten zu löschen und die Informationserfassung am Frontend einzuschränken.“

Laut FTC kam es bei Chegg seit 2017 immer wieder zu Hackerangriffen und Datenlecks. Der erste Angriff fand im September 2017 statt. Hier verschafften sich Hacker durch einen Phishing-Angriff Zugriff auf die Direkteinzahlungsinformationen einiger Mitarbeiter.

Nur ein paar Monate später nutzte ein ehemaliger Chegg-Auftragnehmer seine Login-Informationen, um auf die interne Datenbank des Unternehmens zuzugreifen. Diese speicherte Chegg in der Cloud eines Drittanbieters.

So hatte der Auftragnehmer Zugriff auf Daten von schätzungsweise 40 Millionen Kunden. Darunter Namen, E-Mail-Adressen und Passwörter der Schüler und Studenten. Dazu umfasste die Datenbank Geburtstage, Einkommen der Eltern, sexuelle Orientierung und Behinderungen einiger Kunden.

Einige dieser Daten wurden später gefunden, da sie online zum Kauf angeboten wurden. Problematisch seien laut FTC vor allem die medizinischen und finanziellen Daten, da diese wertvoll für Käufer sind.

All die Angriffe sind das Resultat von unzureichenden Sicherheitsmaßnahmen. Die FTC beschuldigt Chegg, grundlegende Sicherheitsmaßnahmen nicht implementiert zu haben. So gab es zum Beispiel keine Multifaktor-Authentifizierung für Mitarbeiter oder Auftragnehmer, außerdem wurden die Datenbanken nicht auf Bedrohungen überwacht.

Zusätzlich habe Chegg persönliche Daten im Cloudspeicher in Klartext aufbewahrt und nur schwache Verschlüsselung verwendet. Dazu hat die Bildungsplattform die Mitarbeiter des Unternehmens nicht ausreichend für Sicherheitsmaßnahmen geschult.

Um weitere Lecks und Angriffe zu verhindern, soll sich einiges bei Chegg ändern. Das Unternehmen soll die Menge der gesammelten Daten einschränken und Kunden Zugriff auf diese erlauben. Außerdem sollen Kunden die Daten auf Anfrage löschen lassen können.

Dazu soll Chegg ein Sicherheitsprogramm implementieren und künftig Multifaktor-Authentifizierung nutzen.

Gegenüber Engadget sagt ein Sprecher von Chegg in einem Statement, dass es die Vorgaben der FTC vollständig erfüllen werde. Außerdem hebt der Sprecher hervor, dass keine Bußgelder erhoben wurden, was für die momentan robuste Sicherheitsstruktur spreche.

„Chegg setzt sich voll und ganz für den Schutz der Benutzerdaten ein und hat mit angesehenen Datenschutzorganisationen zusammengearbeitet, um unsere Sicherheitsmaßnahmen zu verbessern, und wird unsere Bemühungen fortsetzen,” heißt es weiter.

Auch beim Software-Riesen Microsoft gab es kürzlich ein massives Datenleck von 2,4 TB.