美知名零售商洩露2300萬用戶資訊案落幕:賠50萬

語言: CN / TW / HK

近日,美國聯邦貿易委員會(The Federal Trade Commission,下稱FTC)宣佈,針對此前定製商品零售商CafePress洩露超2300萬用戶個人資訊一事做出最終決定,要求該公司向受資料洩露影響的受害者賠償共50萬美元。同時,全面加強資料安全保障,實行多重身份認證機制,將收集和儲存的使用者資訊數量降至最低。

FTC官網

公開資料顯示,CafePress是美國一家知名定製商品零售公司,截至2011年3月,CafePress擁有超過1300萬會員,其網站上有超過3.25億種產品。2020年9月,該公司被PlanetArt收購。

據報道,2019年2月,CafePress的伺服器遭遇黑客入侵,隨後超過2300萬CafePress使用者的個人資訊在網路犯罪論壇上被髮布和出售。其中包括數百萬使用者姓名、地址、密保問題和答案以及加密程度較弱的使用者電子郵件地址和密碼,超過18萬個未加密的身份證號碼,還有大量的使用者支付卡賬號資訊。

FTC就此對CafePress提起訴訟。訴狀顯示,CafePress一直拖延到2019年9月才披露上述資料洩露事件。在此期間,CafePress收到了來自多方的安全警告,但其向用戶隱瞞了這一事實,只是以密碼政策更新為由告知使用者需重置密碼。儘管CafePress在資料洩露發生後對黑客入侵的漏洞進行了修補,但並未對此事件展開全面調查,並依然允許使用者使用已經被黑客獲取的資訊登入其賬戶。

不僅如此,FTC還針對CafePress的安全保障措施提出質疑,認為CafePress以明文形式儲存使用者的身份證號和密保問題及答案的做法欠妥;同時,其儲存使用者個人資訊的時間超過了必要時限。此外,CafePress還曾欺騙使用者,在向用戶承諾只會將其收集的資訊用於履行訂單的情況下,利用使用者郵箱地址進行營銷。

FTC認定,CafePress在2019年資料洩露事件發生之前就知道其資料安全方面存在問題。2018年1月,當CafePress得知某些使用者賬戶遭受黑客攻擊時,其關閉了這些賬戶,並向受害者收取了25美元的賬戶關閉費。在2019年的嚴重資料洩露發生之前,CafePress已多次被惡意軟體入侵,但其並未調查此類攻擊的來源。

“CafePress採用了簡陋的安全措施,並向消費者隱瞞了多個漏洞。”FTC消費者保護局局長塞繆爾·萊文(Samuel Levine)曾表示,“應對CafePress鬆懈的安全措施進行問責,並對受到影響的小企業進行賠償,通過採取多重身份認證等特定的安全措施來更好地保護個人資訊。”

近日,FTC宣佈了針對CafePress資料洩露事件的最終決定。CafePress需向受資料洩露影響的受害者賠償共50萬美元,及時通知遭受資料洩露的受害者,並告知他們該如何保護自己的個人資訊。

此外,CafePress及其實際控制者被還要求必須採取全面的資料安全保障措施,包括施行多重身份驗證機制,最大限度地減少收集和儲存使用者個人資訊的數量;對使用者的身份證號碼進行加密,以及讓第三方對其資料安全保障機制進行評估,並向FTC提供一份適合公開披露的評估報告。

編譯/綜合:南都記者 樊文揚