美知名零售商泄露万用户信息案落幕：赔万

美知名零售商泄露2300万用户信息案落幕：赔50万

近日，美国美国联邦贸易委员会(FTC)宣布，就定制商品零售商CafePress此前泄露2300多万用户个人信息一事做出最终决定，要求该公司赔偿受数据泄露影响的受害者共计50万美元。同时，全面加强数据安全，实施多重认证机制，最大限度减少用户信息的收集和存储。

FTC官方网站

公开资料显示，CafePress是美国知名的定制商品零售公司。截至2011年3月，CafePress拥有超过1300万会员，其网站上有超过3.25亿种产品。2020年9月，该公司被PlanetArt收购。

据报道，2019年2月，CafePress的服务器遭到黑客攻击，随后超过2300万CafePress用户的个人信息被公布并在网络犯罪论坛上出售。包括数百万用户的姓名、地址、秘密问答、弱加密的邮箱地址和密码、18万多个未加密的身份证号，以及大量的用户支付卡账户信息。

FTC对CafePress提起诉讼。根据投诉，CafePress直到2019年9月才披露上述数据泄露。在此期间，CafePress收到了来自多方的安全警告，但它对用户隐瞒了这一事实，只以密码政策更新为由，告知用户重置密码。虽然CafePress在数据泄露后修补了黑客的漏洞，但并没有对事件进行全面调查，仍然允许用户使用已经被黑客获取的信息登录自己的账户。

不仅如此，FTC还对CafePress的安全措施提出质疑，认为CafePress以明文形式存储用户的ID号和秘密问答的做法是不恰当的；同时，其存储用户个人信息的时间超过了必要的时限。此外，CafePress通过使用用户的电子邮件地址进行营销来欺骗用户，当时他们承诺他们收集的信息只会用于履行订单。

FTC确定CafePress在2019年数据泄露之前就知道其数据安全存在问题。2018年1月，当CafePress得知一些用户账户被黑客攻击后，它关闭了这些账户，并向受害者收取了25美元的关闭费。在2019年严重的数据泄露之前，CafePress已经多次被恶意软件入侵，但它没有调查这种攻击的来源。

" CafePress采用了粗糙的安全措施，并向消费者隐瞒了多个漏洞."FTC消费者保护局局长塞缪尔·莱文(Samuel Levine)曾表示，“CafePress松懈的安全措施应该被追究责任，受影响的小企业应该得到补偿，通过采取多重身份认证等特定安全措施来更好地保护个人信息。”

最近，FTC宣布了对CafePress数据泄露的最终决定。CafePress需要赔偿受数据泄露影响的受害者共计50万美元，及时告知受害者数据泄露的情况，告诉他们如何保护个人信息。

此外，要求CafePress及其实际控制人采取全面的数据安全措施，包括实施多重认证机制，最大限度减少用户收集和存储的个人信息数量；加密用户的身份证号，让第三方评估其数据安全机制，并向FTC提供适合公开披露的评估报告。

编译/综合:南都记者范文洋