CafePress因数据保护不力被罚款50万美元

发布者:Editor
发布于:2022-06-29 18:25

编辑:左右里


美国联邦贸易委员会(FTC)已命令个性化礼品定制电子商务平台CafePress 的前所有者Resiled Pumpkin Entity支付50万美元的罚款,因其在影响超过2300万客户的数据泄露事件以及其他数据安全性问题中处理不当。


据消费者保护监管机构解释说,Resiled Pumpkin Entity以纯文本形式存储其客户的社会安全号码和密码重置答案,并且数据保留时间超出必要。该公司也未能应用有效的保护措施并响应安全事件。在其服务器多次遭到攻击破坏后,它还试图掩盖其草率的安全措施导致的重大数据泄露事件。


根据起诉书,该次数据泄露事件发生在2019年2月,一名身份未知的黑客利用该公司的安全故障访问了:

数百万个加密程度较弱的电子邮件地址和密码;

数百万个未加密名称、物理地址以及安全问题和答案;

超过180000个未加密的社会安全号码;

数以万计的信用卡号和有效期限。


上述部分数据后来被发现在暗网上出售。


据称,CafePress试图掩盖这一大规模数据泄露事件,并没有就违规行为发表声明。直到2019年9月,才通知受影响的个人。当时显露出问题的唯一迹象是让用户在登录时重置密码(没有提到数据泄露)。并且,该公司松懈的安全措施仍然使许多消费者面临风险。例如,该公司在事件发生后仍允许用户通过安全问题来重置网站上的密码,而这些信息已遭黑客窃取。


CafePress甚至在2019年数据泄露事件之前就知道它存在数据安全问题。根据FTC的起诉,该公司早已发现其一些店主的帐户至少自2018年1月以来已经受到损害。但CafePress并没有告知受害者实情,而是关闭了他们的账户,并向每个人收取了25美元的账户关闭费。


根据最终确定的命令,除了支付50万美元的罚款外,Resiled Pumpkin Entity和PlanetArt(CAfePress的新所有者)还被要求实施全面的信息安全计划,包括实施多因素身份验证,最大限度地减少收集和保留的数据量,并加密所有存储的社会安全号码。




资讯来源:Federal Trade Commission

转载请注明出处和本文链接



每日涨知识

垂直越权

指由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只需要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或者控制其他角色拥有的数据或页面,达到权限提升的目的。



推荐文章++++

价值近一亿美元,Harmony巨额加密货币资产失窃

热搜第一!QQ大批账号被盗、发送不雅图片

严重PHP漏洞使威联通设备面临远程代码执行风险

Lookout发现在哈萨克斯坦使用的Android间谍软件

德国指控俄罗斯黑客对北约智库进行网络间谍攻击

热搜爆了!学习通数据库疑发生信息泄露,超1.7亿数据被非法售卖

Claroty披露西门子工业网络管理系统15个漏洞









声明:该文观点仅代表作者本人,转载请注明来自看雪