CafePress因數據保護不力被罰款50萬美元
美國聯邦貿易委員會(FTC)已命令個性化禮品定制電子商務平臺CafePress 的前所有者Resiled Pumpkin Entity支付50萬美元的罰款,因其在影響超過2300萬客戶的數據泄露事件以及其他數據安全性問題中處理不當。
據消費者保護監管機構解釋說,Resiled Pumpkin Entity以純文本形式存儲其客戶的社會安全號碼和密碼重置答案,并且數據保留時間超出必要。該公司也未能應用有效的保護措施并響應安全事件。在其服務器多次遭到攻擊破壞后,它還試圖掩蓋其草率的安全措施導致的重大數據泄露事件。
根據起訴書,該次數據泄露事件發生在2019年2月,一名身份未知的黑客利用該公司的安全故障訪問了:
數百萬個加密程度較弱的電子郵件地址和密碼;
數百萬個未加密名稱、物理地址以及安全問題和答案;
超過180000個未加密的社會安全號碼;
數以萬計的信用卡號和有效期限。
上述部分數據后來被發現在暗網上出售。
據稱,CafePress試圖掩蓋這一大規模數據泄露事件,并沒有就違規行為發表聲明。直到2019年9月,才通知受影響的個人。當時顯露出問題的唯一跡象是讓用戶在登錄時重置密碼(沒有提到數據泄露)。并且,該公司松懈的安全措施仍然使許多消費者面臨風險。例如,該公司在事件發生后仍允許用戶通過安全問題來重置網站上的密碼,而這些信息已遭黑客竊取。
CafePress甚至在2019年數據泄露事件之前就知道它存在數據安全問題。根據FTC的起訴,該公司早已發現其一些店主的帳戶至少自2018年1月以來已經受到損害。但CafePress并沒有告知受害者實情,而是關閉了他們的賬戶,并向每個人收取了25美元的賬戶關閉費。
根據最終確定的命令,除了支付50萬美元的罰款外,Resiled Pumpkin Entity和PlanetArt(CAfePress的新所有者)還被要求實施全面的信息安全計劃,包括實施多因素身份驗證,最大限度地減少收集和保留的數據量,并加密所有存儲的社會安全號碼。
資訊來源:Federal Trade Commission
轉載請注明出處和本文鏈接
每日漲知識
垂直越權
指由于后臺應用沒有做權限控制,或僅僅在菜單、按鈕上做了權限控制,導致惡意用戶只需要猜測其他管理頁面的URL或者敏感的參數信息,就可以訪問或者控制其他角色擁有的數據或頁面,達到權限提升的目的。
