Federal Ticaret Komisyonu Pazartesi günü Santa Clara, California merkezli bir eğitim teknolojisi firması olan Chegg’e, şirketin siber güvenliğe “dikkatsiz” yaklaşımının on milyonlarca kullanıcının kişisel bilgilerini ifşa ettiğini söyleyerek baskı yaptı.
Pazartesi sabahı yapılan meşru bir şikayette, düzenleyiciler Chegg’i 2017’den kalma çok sayıda veri güvenlik açığıyla suçladılar. Ajans, diğer sorunların yanı sıra, Chegg’in birden çok çalışana temel olarak belirli veritabanlarına tam erişim geçişi olan kök oturum açma kimlik bilgileri verdiğini söyledi. ve dış yükleniciler. Bu kimlik bilgileri, birçok kişinin, şirketin Amazon Web Services’ın çevrimiçi depolama sisteminde tuttuğu kullanıcı hesabı verilerine bakmasını sağladı.
Sonuç olarak ajans, eski bir Chegg yüklenicisinin şirket tarafından verilen kimlik bilgilerini kullanarak 2018’de yaklaşık 40 milyon kullanıcının adlarını, e-posta adreslerini ve şifrelerini çalabildiğini söyledi. , engelli ve anne baba gelirleri de alındı. Verilerin bir kısmı daha sonra çevrimiçi satış için bulundu.
Chegg’in popüler ev ödevi yardım uygulaması, milyonlarca lise ve üniversite öğrencisi tarafından düzenli olarak kullanılmaktadır. Ajans, FTC’nin suçlamalarını karşılamak için Chegg’in kapsamlı bir veri güvenlik programı benimsemeyi kabul ettiğini söyledi.
Yorum için Chegg’e hemen ulaşılamadı.
Önde gelen bir endüstri oyuncusu olan Chegg’e karşı FTC’nin yaptırım eylemi, ABD eğitim teknolojisi endüstrisine bir uyarı niteliğindedir.
2020’de pandeminin ilk günlerinden bu yana, eğitim teknolojisi sektörü müşteri ve gelirde artış yaşadı. Uzaktan öğrenmeyi mümkün kılmak için birçok okul ve üniversite, sınav gözetmenliği yazılımı, ders yönetim platformları ve görüntü toplantı sistemleri gibi dijital araçları benimsemek için acele etti.
Öğrenciler ve aileleri de yığınlar halinde çevrimiçi özel ders hizmetlerine ve matematik uygulamaları gibi çalışma yardımcılarına yöneldi. Bunların arasında, Pazartesi sabahı yaklaşık 2,9 milyar dolarlık bir piyasa değerine sahip olan Chegg, 2021 için bir önceki yıla göre yüzde 20 artışla 776 milyon dolar yıllık gelir bildirdi.
Bazı çevrimiçi öğrenme sistemleri o kadar yararlı oldu ki, birçok öğrenci ve onların eğitim kurumları, okullar ve kolejler yüz yüze eğitime döndükten sonra bile araçları kullanmaya devam etti.
Ancak pandemi sırasında dijital öğrenme araçlarının hızlı büyümesi, yaygın kusurları da ortaya çıkardı.
Pek çok çevrimiçi eğitim hizmeti, öğrencilerin her tuş vuruşu, kaydırma ve tıklama işlemleriyle ilgili bir veri hazinesini kaydeder, depolar ve analiz eder; bu bilgiler, çocukların öğrenme zorlukları veya kesin konumları hakkında hassas ayrıntılar içerebilir. Gizlilik ve güvenlik uzmanları, bu tür artan gözetimin şirketlere öğrencilerden daha fazla fayda sağlayabileceği konusunda uyardı.
Önde gelen bir öğrenci izleme yazılımı sağlayıcısı olan Illuminate Education, Mart ayında belirli şirket veritabanlarına yönelik bir siber saldırı bildirdi. Olay, Amerika Birleşik Devletleri’ndeki düzinelerce bölgede – ülkenin en büyük devlet okulu sistemi olan New York City de dahil olmak üzere – bir milyondan fazla mevcut ve eski öğrencinin kişisel bilgilerini açığa çıkardı.
Mayıs ayında FTC, okul çocuklarından aşırı kişisel bilgi toplayan veya öğrencilerin kişisel bilgilerini güvence altına alamayan eğitim teknolojisi şirketlerine baskı yapmayı planladığını belirten bir politika bildirisi yayınladı.
FTC, YouTube ve TikTok gibi hizmetlerde çocukların mahremiyetini ihlal ettiği için şirketlere uzun bir ceza verme geçmişine sahiptir. Ajans bunu, gençlerin kişisel verilerini korumak ve verileri toplamadan önce ebeveyn izni almak için 13 yaşın altındaki çocukları hedefleyen çevrimiçi hizmetleri zorunlu kılan federal bir yasa olan Çocukların Çevrimiçi Gizliliğini Koruma Yasası kapsamında yapabilir.
Ancak Chegg aleyhindeki federal şikayet, ajansın özellikle eğitim teknolojisi endüstrisi tarafından veri madenciliğini denetlemeye ve öğrenci mahremiyetini korumaya odaklanan yeni kampanyası kapsamındaki ilk davayı temsil ediyor. Chegg davasında, düzenleyiciler çocukların mahremiyet yasasına başvurmadı. Şirketi haksız ve aldatıcı ticari uygulamalarla suçladılar.
Chegg, 2005 yılında üniversite öğrencileri için ders kitabı kiralama hizmeti olarak kuruldu. Bugün, e-ders kitapları kiralayan çevrimiçi bir öğrenme devidir.
Ancak en çok, öğrencilerin görelilik veya mitoz gibi kurs konularında milyonlarca soruya hazır yanıtlar bulabileceği, ayda 15,95 ABD doları karşılığında ev ödevi yardım platformu olarak bilinir. Öğrenciler ayrıca Chegg’in çevrimiçi uzmanlarından kendilerine verilen belirli çalışma veya test sorularını yanıtlamalarını isteyebilir.
Öğretmenler, hizmetin yaygın kopya çekmeye olanak sağladığından şikayet ettiler. Hatta öğrencilerin platformdan yanıtları kopyalamak için bir takma adı bile vardır: “chegging”.
Chegg’in gizlilik politikası, kullanıcılara şirketin kişisel bilgilerini “korumak için ticari olarak makul güvenlik önlemleri” alacağına söz verdi. FTC, örneğin Chegg’in burs bulma hizmetinin öğrencilerin doğum tarihlerinin yanı sıra dinleri, cinsel yönelimleri ve engelleri gibi bilgileri topladığını söyledi.
Ancak düzenleyiciler, davetsiz misafirlerin hassas öğrenci verilerine ve çalışanların mali bilgilerine erişmesini sağlayan bir dizi güvenlik açığından sonra bile şirketin kullanıcı verilerini korumak için makul güvenlik önlemlerini kullanmadığını söyledi.
FTC tarafından önerilen onay sözleşmesinin bir parçası olarak Chegg, çalışanlara güvenlik eğitimi vermeli ve kullanıcı verilerini şifrelemelidir. Chegg ayrıca, tüketicilere kendileri hakkında topladığı kişisel bilgilere – kesin konum verileri veya IP adresleri gibi kalıcı tanımlayıcılar dahil – erişim sağlamalı ve kullanıcıların kayıtlarını silmesine olanak sağlamalıdır.
Diğer çevrimiçi öğrenme hizmetleri de düzenleyicilerden bilgi alabilir. FTC, Temmuz ayında, eğitim teknolojisi sağlayıcılarına yönelik bir dizi kamuya açık olmayan soruşturma yürüttüğünü açıkladı.
Ajansın Tüketiciyi Koruma Bürosu direktörü Samuel Levine Pazartesi günkü bir haber bülteninde “Chegg, milyonlarca öğrencinin hassas bilgileriyle kestirmeden gitti” dedi. “Komisyon, kişisel verileri korumak için agresif davranmaya devam edecek.”