近日,美国联邦贸易委员会(The Federal Trade Commission,下称FTC)宣布,针对此前定制商品零售商CafePress泄露超2300万用户个人信息一事做出最终决定,要求该公司向受数据泄露影响的受害者赔偿共50万美元。同时,全面加强数据安全保障,实行多重身份认证机制,将收集和存储的用户信息数量降至最低。
FTC官网
公开资料显示,CafePress是美国一家知名定制商品零售公司,截至2011年3月,CafePress拥有超过1300万会员,其网站上有超过3.25亿种产品。2020年9月,该公司被PlanetArt收购。
据报道,2019年2月,CafePress的服务器遭遇黑客入侵,随后超过2300万CafePress用户的个人信息在网络犯罪论坛上被发布和出售。其中包括数百万用户姓名、地址、密保问题和答案以及加密程度较弱的用户电子邮件地址和密码,超过18万个未加密的身份证号码,还有大量的用户支付卡账号信息。
FTC就此对CafePress提起诉讼。诉状显示,CafePress一直拖延到2019年9月才披露上述数据泄露事件。在此期间,CafePress收到了来自多方的安全警告,但其向用户隐瞒了这一事实,只是以密码政策更新为由告知用户需重置密码。尽管CafePress在数据泄露发生后对黑客入侵的漏洞进行了修补,但并未对此事件展开全面调查,并依然允许用户使用已经被黑客获取的信息登录其账户。
不仅如此,FTC还针对CafePress的安全保障措施提出质疑,认为CafePress以明文形式存储用户的身份证号和密保问题及答案的做法欠妥;同时,其存储用户个人信息的时间超过了必要时限。此外,CafePress还曾欺骗用户,在向用户承诺只会将其收集的信息用于履行订单的情况下,利用用户邮箱地址进行营销。
FTC认定,CafePress在2019年数据泄露事件发生之前就知道其数据安全方面存在问题。2018年1月,当CafePress得知某些用户账户遭受黑客攻击时,其关闭了这些账户,并向受害者收取了25美元的账户关闭费。在2019年的严重数据泄露发生之前,CafePress已多次被恶意软件入侵,但其并未调查此类攻击的来源。
“CafePress采用了简陋的安全措施,并向消费者隐瞒了多个漏洞。”FTC消费者保护局局长塞缪尔·莱文(Samuel Levine)曾表示,“应对CafePress松懈的安全措施进行问责,并对受到影响的小企业进行赔偿,通过采取多重身份认证等特定的安全措施来更好地保护个人信息。”
近日,FTC宣布了针对CafePress数据泄露事件的最终决定。CafePress需向受数据泄露影响的受害者赔偿共50万美元,及时通知遭受数据泄露的受害者,并告知他们该如何保护自己的个人信息。
此外,CafePress及其实际控制者被还要求必须采取全面的数据安全保障措施,包括施行多重身份验证机制,最大限度地减少收集和存储用户个人信息的数量;对用户的身份证号码进行加密,以及让第三方对其数据安全保障机制进行评估,并向FTC提供一份适合公开披露的评估报告。
关键词: 商品零售商CafePress 商品零售商CafePress泄露超2300万用户个人信息 用户个人信息 泄露用户个人信息 泄露信息
凡注有"环球传媒网"或电头为"环球传媒网"的稿件,均为环球传媒网独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"环球传媒网",并保留"环球传媒网"的电头。
资讯
- 火车票搜索量上涨1.5倍!通信行程卡取消“星号”标记
- 日产在美召回32万多辆汽车 车型为2013年至2016年的322671辆Pathfinder SUV
- 高盛的内部预测显示:今年的消费者业务损失将超过12亿美元
- 虎牙被罚2万元!多位主播跳舞现不雅动作
- 埃克森美孚及帝国石油以19亿加元出售XTO Energy Canada
- 恒生指数夜期(6月)收报22131点 跌240点或1.073%
- 读书郎(02385)拟发行5200万股股份 于2022年6月29日至2022年7月5日招股
- QQ账号被盗?谨慎扫描二维码 做好个人保护
- 被罚12万元!小米旗下支付机构“捷付睿通”存4项违法行为
- 降本增效或成企业胜负手 负极材料量价齐升