近日,美国美国联邦贸易委员会(FTC)宣布,就定制商品零售商CafePress此前泄露2300多万用户个人信息一事做出最终决定,要求该公司赔偿受数据泄露影响的受害者共计50万美元。同时,全面加强数据安全,实施多重认证机制,最大限度减少用户信息的收集和存储。
FTC官方网站
公开资料显示,CafePress是美国知名的定制商品零售公司。截至2011年3月,CafePress拥有超过1300万会员,其网站上有超过3.25亿种产品。2020年9月,该公司被PlanetArt收购。
据报道,2019年2月,CafePress的服务器遭到黑客攻击,随后超过2300万CafePress用户的个人信息被公布并在网络犯罪论坛上出售。包括数百万用户的姓名、地址、秘密问答、弱加密的邮箱地址和密码、18万多个未加密的身份证号,以及大量的用户支付卡账户信息。
FTC对CafePress提起诉讼。根据投诉,CafePress直到2019年9月才披露上述数据泄露。在此期间,CafePress收到了来自多方的安全警告,但它对用户隐瞒了这一事实,只以密码政策更新为由,告知用户重置密码。虽然CafePress在数据泄露后修补了黑客的漏洞,但并没有对事件进行全面调查,仍然允许用户使用已经被黑客获取的信息登录自己的账户。
不仅如此,FTC还对CafePress的安全措施提出质疑,认为CafePress以明文形式存储用户的ID号和秘密问答的做法是不恰当的;同时,其存储用户个人信息的时间超过了必要的时限。此外,CafePress通过使用用户的电子邮件地址进行营销来欺骗用户,当时他们承诺他们收集的信息只会用于履行订单。
FTC确定CafePress在2019年数据泄露之前就知道其数据安全存在问题。2018年1月,当CafePress得知一些用户账户被黑客攻击后,它关闭了这些账户,并向受害者收取了25美元的关闭费。在2019年严重的数据泄露之前,CafePress已经多次被恶意软件入侵,但它没有调查这种攻击的来源。
" CafePress采用了粗糙的安全措施,并向消费者隐瞒了多个漏洞."FTC消费者保护局局长塞缪尔·莱文(Samuel Levine)曾表示,“CafePress松懈的安全措施应该被追究责任,受影响的小企业应该得到补偿,通过采取多重身份认证等特定安全措施来更好地保护个人信息。”
最近,FTC宣布了对CafePress数据泄露的最终决定。CafePress需要赔偿受数据泄露影响的受害者共计50万美元,及时告知受害者数据泄露的情况,告诉他们如何保护个人信息。
此外,要求CafePress及其实际控制人采取全面的数据安全措施,包括实施多重认证机制,最大限度减少用户收集和存储的个人信息数量;加密用户的身份证号,让第三方评估其数据安全机制,并向FTC提供适合公开披露的评估报告。
编译/综合:南都记者范文洋