CafePress因資料保護不力被罰款50萬美元

編輯：左右裡

美國聯邦貿易委員會（FTC）已命令個性化禮品定製電子商務平臺CafePress 的前所有者Resiled Pumpkin Entity支付50萬美元的罰款，因其在影響超過2300萬客戶的資料洩露事件以及其他資料安全性問題中處理不當。

據消費者保護監管機構解釋說，Resiled Pumpkin Entity以純文字形式儲存其客戶的社會安全號碼和密碼重置答案，並且資料保留時間超出必要。該公司也未能應用有效的保護措施並響應安全事件。在其伺服器多次遭到攻擊破壞後，它還試圖掩蓋其草率的安全措施導致的重大資料洩露事件。

根據起訴書，該次資料洩露事件發生在2019年2月，一名身份未知的駭客利用該公司的安全故障訪問了：

數百萬個加密程度較弱的電子郵件地址和密碼；

數百萬個未加密名稱、實體地址以及安全問題和答案；

超過180000個未加密的社會安全號碼；

數以萬計的信用卡號和有效期限。

上述部分資料後來被發現在暗網上出售。

據稱，CafePress試圖掩蓋這一大規模資料洩露事件，並沒有就違規行為發表宣告。直到2019年9月，才通知受影響的個人。當時顯露出問題的唯一跡象是讓使用者在登入時重置密碼（沒有提到資料洩露）。並且，該公司鬆懈的安全措施仍然使許多消費者面臨風險。例如，該公司在事件發生後仍允許使用者透過安全問題來重置網站上的密碼，而這些資訊已遭駭客竊取。

CafePress甚至在2019年資料洩露事件之前就知道它存在資料安全問題。根據FTC的起訴，該公司早已發現其一些店主的帳戶至少自2018年1月以來已經受到損害。但CafePress並沒有告知受害者實情，而是關閉了他們的賬戶，並向每個人收取了25美元的賬戶關閉費。

根據最終確定的命令，除了支付50萬美元的罰款外，Resiled Pumpkin Entity和PlanetArt（CAfePress的新所有者）還被要求實施全面的資訊保安計劃，包括實施多因素身份驗證，最大限度地減少收集和保留的資料量，並加密所有儲存的社會安全號碼。

資訊來源：Federal Trade Commission

轉載請註明出處和本文連結

每日漲知識

垂直越權

指由於後臺應用沒有做許可權控制，或僅僅在選單、按鈕上做了許可權控制，導致惡意使用者只需要猜測其他管理頁面的URL或者敏感的引數資訊，就可以訪問或者控制其他角色擁有的資料或頁面，達到許可權提升的目的。

推薦文章++++

* 價值近一億美元，Harmony鉅額加密貨幣資產失竊

* 熱搜第一！QQ大批賬號被盜、傳送不雅圖片

* 嚴重PHP漏洞使威聯通裝置面臨遠端程式碼執行風險

* Lookout發現在哈薩克使用的Android間諜軟體

* 德國指控俄羅斯駭客對北約智庫進行網路間諜攻擊

* 熱搜爆了！學習通資料庫疑發生資訊洩露，超1.7億資料被非法售賣

* Claroty披露西門子工業網路管理系統15個漏洞

﹀

﹀

﹀