ABD Federal Ticaret Komisyonu (FTC), CafePress T-Shirt ve Mal Sitesinin eski sahibi olan artık kabak varlığı, 23 milyondan fazla müşteriyi etkileyen bir veri ihlali örtbas etmek için 500.000 dolar para cezası ödemesini emretti. .
Tüketici Koruma Bekçisi'nin Mart 2022'den itibaren bir şikayette açıkladığı gibi, artık balkabağı varlığı müşterilerinin sosyal güvenlik numaralarını sakladı ve şifre cevaplarını düz metinde ve gerektiğinden daha uzun süre sıfırladı.
Şirket ayrıca mevcut korumaları uygulayamadı ve güvenlik olaylarına yanıt veremedi. Sunucuları birçok kez ihlal edildikten sonra, özensiz güvenlik uygulamalarından kaynaklanan ana veri ihlalini örtmeye çalıştı.
Sonlandırılmış siparişe göre, 500.000 dolarlık para cezası ödemenin yanı sıra, artık balkabağı ve Planetart (CafePress'in yeni sahibi) çok faktörlü kimlik doğrulama uygulaması, toplanan ve tutulan verilerin miktarını en aza indirmesi ve depolanan tüm sosyal güvenlik numaralarını şifrelemek zorunda.
Planetart ayrıca, güvenlik ihlalleri sırasında kişisel bilgilerine erişilen veya çalınan alıcıları ve satıcıları uyarması ve onlara kendilerini nasıl koruyabilecekleri hakkında bilgi vermesi emredildi.
Şubat 2019'da CafePress sunucularının ihlalinden sonra, bilinmeyen saldırganlar 23.205.290 CafePress kullanıcılarına ait Dark Web Kişisel Bilgileri'ne erişim kazandı, söndürüldü ve daha sonra satışa sunuldu:
CafePress'in bu büyük veri ihlalini örtmeye çalıştığı ve BleepingComputer'ın ihlali bildirmesinden bir ay sonra Eylül 2019'a kadar etkilenen kişileri bilgilendirmediği iddia edildi. Bununla birlikte, bazı kullanıcılar Troy Hunt's Me Pwned hizmetinden bildirim aldıktan sonra olaydan haberdar edildi.
O zaman, CafePress, BleepingComputer daha fazla bilgi için ulaştığında ve ihlalle ilgili bir açıklama yapmadığında cevap vermedi.
Bir şeyin yanlış olduğuna dair tek işaret, kullanıcılarının oturum açarken (veri ihlalinden bahsetmeden) şifrelerini sıfırlamak zorunda kalmasıydı.
CafePress, FTC'nin şikayetine göre, şirketin en az Ocak 2018'den bu yana bazı esnaf hesaplarının tehlikeye atıldığını öğrendi.
Olaylar hakkında bilgi vermek yerine, CafePress hesaplarını kapattı ve her birine 25 dolarlık bir hesap kapatma ücreti aldı.
Birkaç kötü amaçlı yazılım enfeksiyonu da 2019 güvenlik ihlali öncesinde şirketin ağını etkiledi ve CafePress bir kez daha saldırıları araştıramadı.
Şikayeti Mart ayında duyurduğunda FTC, CafePress'in "bu tür bilgilerin yalnızca tüketicilerin yerleştirdiği siparişleri yerine getirmek için kullanılacağına dair vaatlerine rağmen, pazarlama için tüketici e -posta adreslerini kullanarak kullanıcıları yanlış yönlendirdiğini" iddia etti.
Amerikalılar kripto para dolandırıcılarına 1 milyar doların üzerinde kaybettiğini bildiriyor
FTC Fines Twitter, hedeflenen reklam için 2FA bilgi kullanmak için 150 milyon dolar
Nvidia, kriptominasyon satış artışını ifşa edemediği için para cezasına çarptırıldı
FTC, ISS'yi 60K kullanıcılarına hız taleplerini eşleştirmek için fiber dağıtmaya zorlayacak
Rusya, ordusunu iftira eden 'güvenilmez' bilgileri yaydığı için Google'a para cezası
Kaynak: Bleeping Computer