ABD Federal Ticaret Komisyonu (FTC), kullanıcılarının verilerini güvence altına almamak ve milyonlarca etkilenen önemli bir veri ihlalini kapsamaya çalışmak için Cafepress özel tişört ve mal sahasının eski sahibini 500.000 $ 'a kadar tokatlamak istiyor.
Tüketici Koruma Watchdog'un açıklandığı gibi, Cafepress'in eski sahibi, artık Balkabağı varlığı, müşterilerinin sosyal güvenlik numaralarını ve parola sıfırlama cevaplarını düz metin olarak saklar ve verilerini gereğinden uzun süredir.
FTC, "Shoddy güvenlik uygulamalarının bir sonucu olarak, Cafepress'in ağı birden fazla kez ihlal edildi" dedi.
"Komisyonun önerdiği emri, şirketin veri güvenliğini desteklemesini ve eski sahibinin küçük işletmeleri telafi etmek için yarım milyon dolara [PDF rızası emri] ödemesini gerektiriyor."
Önerilen yerleşim, artık kabak ve planetart (Cafepress'in yeni sahibi) için çok faktörlü kimlik doğrulaması uygulamak, toplanan ve tutulan verilerin miktarını en aza indirmesi, sunucularında saklanan sosyal güvenlik numaralarını şifreleyin.
Şubat 2019'dan sonra Cafepress'in sunucularının ihlal edilmesi, bilinmeyen saldırılara erişildi ve daha sonra Koyu Web'de satışa çıkarıldı.
Cafepress, bu büyük veri ihlalini örtmeye çalıştı ve BleepingComputer'ın ihlal edildikten sonraki bir ay sonra, Eylül 2019'a kadar etkilenen müşterilerin hiçbirini bilgilendirmedi.
O zamanlar Cafepress, BleepingComputer'ın sorgularına cevap vermedi ve olayla ilgili bir açıklama yapmadı. Bir şeyin yanlış olduğu tek gösterge, kullanıcıların giriş yaparken (ihlalden bahsetmediği) şifrelerini sıfırlamak zorunda kalmalarıdır.
Cafepress, 2019 veri ihlalinden önce bile veri güvenliği sorunları olduğunu da farkındaydı. FTC'nin şikayetine göre, şirket bazı dükkan sahiplerinin hesaplarının en azından Ocak 2018'de saldırıya uğradığını keşfetti.
Onları olaylar hakkında bilgilendirmek yerine, kafepres yerine hesaplarını kapattı ve her biri 25 $ hesap kapatma ücreti aldı.
Şirketin ağı, 2019 güvenlik ihlalinden önce birkaç kötü amaçlı yazılım enfeksiyonu tarafından vuruldu ve tekrar saldırıları araştırdı.
FTC, Cafepress'in ayrıca, bu tür bilgilerin yalnızca tüketicilerin sipariş vermelerini sağlamak için kullanılacağını vaat etmesine rağmen, pazarlama için tüketici e-posta adreslerini kullanarak yanıtladı "dedi.
Sec, kamu şirketlerinin ihlalleri dört gün içinde rapor etmelerini istiyor
Cafepress veri ihlali 23 milyon kullanıcının kişisel bilgilerini ortaya koyuyor
NY OAG, T-Mobile Veri İhleti Kimlik Hırsızlığının Kurbanlarını uyardı
FTC: Amerikalılar 2021'de dolandırıcılık için 5,8 milyar doların üzerinde kaybolduğunu bildirdi
FTC, Amerikalıların 2021'de romantizm dolandırıcılığına 547 milyon dolar kaybettiğini söyledi
Kaynak: Bleeping Computer