Webwinkel Zappos betaalt 106.000 dollar na groot datalek
De Amerikaanse online schoenenwinkel Zappos.com zal als onderdeel van een schikking 106.000 dollar betalen en gaat maatregelen nemen om de gegevens van klanten beter te beschermen nadat in 2012 de privégegevens van 24 miljoen klanten bij de webwinkel werden gestolen. Het ging om klantnamen, adresgegevens, telefoonnummers, laatste vier cijfers van het creditcardnummer en de inloggegevens van klanten.
Vanwege de inbraak bij het bedrijf, dat eigendom van internetgigant Amazon is, werd er door verschillende Amerikaanse staten een rechtszaak aangespannen. De negen staten en Zappos hebben nu een schikking gesloten. Naast de 106.000 dollar, wat neerkomt op iets meer dan 11.000 dollar per staat, moet het bedrijf zich aan het eigen beveiligingsbeleid houden, informatie over het huidige informatiebeveiligingsbeleid overhandigen, de beveiliging van klantgegevens door een derde partij laten auditen en jaarlijks het personeel over het beveiligingsbeleid trainen.
"Bedrijven, waaronder webwinkels, moeten hun klantgegevens op gepaste bewijze beschermen door datalekken tegen te gaan", aldus officier van justitie Martha Coakley. "Wij zullen retailers verantwoordelijk houden voor het niet volgen van hun eigen beleid met betrekking tot klantgegevens en ervoor zorgen dat alle bedrijven over acceptabele databeschermingsmaatregelen beschikken."
Met 24M klanten is die 106.000 dollar is per klant 0,44 dollarcent. Dat zie je nooit terug in de prijs.
Wil je beweren dat het veilig (risico/impact) inrichten van een IT asset jou te duur is. Liever alles wagenwijd open laat staan omdat het zo makkelijk is. Heb je wel sloten in je huis (en andere zaken).?
Merk trouwens op dat het alleen hun eigen beleid is waar ze zich aan moeten houden, er wordt zo te zien niet opgelegd dat dat beleid minimaal ergens aan moet voldoen. De eis is dat ze duidelijk zeggen wat ze doen en dat ze doen wat ze zeggen. Dat is denk ik een wezenlijk verschil met de EU: hier bestaat consumentenrecht waar je met je beleid of je voorwaarden niet onder kan gaan zitten, dan gaat simpelweg de wet voor. In de VS beschouwt men het dacht ik eerder als een contract tussen twee partijen en als de voorwaarden je als consument benadelen dan had je er maar niet mee accoord moeten gaan.
Het eigen beleid is de juiste formulering die ook in eruopa geldt. Neem een richtlijn of norm ISO27k , NEN 7510 SOX 404, Basel of wat dan ook. Het begint met dat het bedrijf zelf moet vaststellen wat nodig om daaraan te voldoen. Principe: pas toe of leg uit. Echte technische details zijn niet eens benoemd dat is de taak van het bedrijf om in te vullen.
Neem maar aan dat ook hier Nederland heel veel bedrijven dat niet op orde hebben.
Met dat consumentenrecht heb je wel iets. Het is veel meer de eigen verantwoordelijkheid om voor je zelf op te komen. Ook indien je in een zeer ongelijke positie zit. Dat is het rechtse ideaal wat ze ook nog eens in nieuwe taal (newspeak) als participatie maatschappij willen aanduiden.
Zag onlangs wat voorbijkomen over bank-passen. Daar lijkt het standpunt van banken te zijn. Gehackt ...geld ongeoorloofd benaderd/onvergemaakt? jammer niet ons probleem jouw probleem. Bevalt het je niet, dan mag je naar de rechtbank. Creditcards bieden dan nog wat bescherming, die worden massaal gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
