CafePress因数据保护不力被罚款50万美元

美国联邦贸易委员会（FTC）已命令个性化礼品定制电子商务平台CafePress 的前所有者Resiled Pumpkin Entity支付50万美元的罚款，因其在影响超过2300万客户的数据泄露事件以及其他数据安全性问题中处理不当。

据消费者保护监管机构解释说，Resiled Pumpkin Entity以纯文本形式存储其客户的社会安全号码和密码重置答案，并且数据保留时间超出必要。该公司也未能应用有效的保护措施并响应安全事件。在其服务器多次遭到攻击破坏后，它还试图掩盖其草率的安全措施导致的重大数据泄露事件。

根据起诉书，该次数据泄露事件发生在2019年2月，一名身份未知的黑客利用该公司的安全故障访问了：

数百万个加密程度较弱的电子邮件地址和密码；

数百万个未加密名称、物理地址以及安全问题和答案；

超过180000个未加密的社会安全号码；

数以万计的信用卡号和有效期限。

上述部分数据后来被发现在暗网上出售。

据称，CafePress试图掩盖这一大规模数据泄露事件，并没有就违规行为发表声明。直到2019年9月，才通知受影响的个人。当时显露出问题的唯一迹象是让用户在登录时重置密码（没有提到数据泄露）。并且，该公司松懈的安全措施仍然使许多消费者面临风险。例如，该公司在事件发生后仍允许用户通过安全问题来重置网站上的密码，而这些信息已遭黑客窃取。

CafePress甚至在2019年数据泄露事件之前就知道它存在数据安全问题。根据FTC的起诉，该公司早已发现其一些店主的帐户至少自2018年1月以来已经受到损害。但CafePress并没有告知受害者实情，而是关闭了他们的账户，并向每个人收取了25美元的账户关闭费。

根据最终确定的命令，除了支付50万美元的罚款外，Resiled Pumpkin Entity和PlanetArt（CAfePress的新所有者）还被要求实施全面的信息安全计划，包括实施多因素身份验证，最大限度地减少收集和保留的数据量，并加密所有存储的社会安全号码。

资讯来源：Federal Trade Commission

转载请注明出处和本文链接

每日涨知识

垂直越权

指由于后台应用没有做权限控制，或仅仅在菜单、按钮上做了权限控制，导致恶意用户只需要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或者控制其他角色拥有的数据或页面，达到权限提升的目的。