​​Повторение в ИБ - мать учения? Федеральная торговая комиссия (FTC) подала в суд на компанию Chegg после четырех (!) утечек персональных данных клиентов и сотрудников. Первый раз компанию Chegg, предоставляющую образовательные услуги, взломали еще в сентябре 2017 года. Тогда хакеры получили доступ к учеткам нескольких сотрудников, которые не смогли распознать фишинг. Спустя год бывший подрядчик компании получил несанкционированный доступ к внутренним системам Chegg и украл учетные данные миллиона пользователей. Позже этот же подрядчик выставил украденные данные на продажу, всего в открытом доступе оказалось 25 миллионов паролей пользователей. В 2019 году хакеры и вовсе завладели почтовым ящиком руководителя Chegg, а потом и конфиденциальной информацией клиентов и сотрудников. Еще через 12 месяцев сотрудник Chegg стал жертвой фишинга, это позволило злоумышленникам получить доступ к финансовым данным и украсть ПД нескольких сотен сотрудников. FTC считает, что эти четыре утечки связаны с неэффективными методами защиты данных со стороны Chegg и неспособностью компании обеспечить базовые требования к безопасности. Компанию также обвиняют в небезопасном хранении конфиденциальной информации пользователей и в неспособности обучить сотрудников основам киберграмотности. Руководство компании заявило, что они заботятся о сохранности данных своих клиентов и «постоянно совершенствуют» меры ИБ. Хочется верить, что после четырех факапов и судебного иска компания задумается не только о том, чтобы обучить сотрудников базовым правилам кибергигиены, но и позаботится о надежной защите персональных данных клиентов. Кстати, сейчас заказчики всерьез задумываются о необходимости контроля данных в покое. Как раз о защите неструктурированных данных на этой неделе говорили на AM Live. Рекомендуем к просмотру.