Het Amerikaanse schoolboekenbedrijf Chegg moet gebruikers wegens een datalek, waarbij de gegevens van 40 miljoen studenten en medewerkers op straat kwamen te liggen, verplicht multifactorauthenticatie (MFA) aanbieden, zo heeft de Amerikaanse toezichthouder FTC bepaald. De gelekte data bestond uit e-mailadressen, geboortedata, seksuele geaardheid en handicaps van studenten, alsmede financiële en medische informatie van Chegg-medewerkers.

Volgens de FTC had Chegg de gegevens van klanten niet goed beveiligd. Het Amerikaanse bedrijf verhuurt boeken, verzorgt online lessen en biedt andere diensten voor leerlingen. Chegg kreeg vanaf eind 2017 met meerdere datalekken te maken waardoor aanvallers toegang tot persoonlijke informatie kregen. Drie van de datalekken werden veroorzaakt door phishingaanvallen.

Het grootste datalek deed zich voor toen een voormalige contractor inloggegevens van Chegg gebruikte voor het downloaden van een database met de gegevens van veertig miljoen klanten. Een deel van de klantgegevens verscheen later op internet. Zo was het aanvallers gelukt om 25 miljoen wachtwoordhashes te kraken en het bijbehorende wachtwoord te achterhalen. "Het bedrijf bewaarde persoonlijke data in de clouddatabases in plain text, en gebruikte tot zeker 2018 verouderde en zwakke encryptie om de wachtwoorden van gebruikers te beschermen", aldus de FTC.

Naar aanleiding van het datalek heeft de FTC het bedrijf opgedragen om verschillende maatregelen door te voeren. Zo moet het een "uitgebreid informatiebeveiligingsprogramma" implementeren, de data beperken die het kan verzamelen en bewaren en moet het gebruikers MFA aanbieden om hun accounts te beveiligen. Tevens moet het bedrijf gebruikers toegang tot hun data geven en die op verzoek verwijderen.