image

Kledingketen betaalt 1,9 miljoen dollar wegens liegen over omvang datalek

dinsdag 18 oktober 2022, 12:20 door Redactie, 2 reacties

Kledingketen Zoetop, aanbieder van de merken Shein en Romwe, moet de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. Zoetop ontdekte het datalek niet zelf, maar werd eind 2018 ingelicht door de betalingsverwerker nadat die door een creditcardmaatschappij was gewaarschuwd. Criminelen hadden klantgegevens buitgemaakt, waaronder creditcardgegevens, namen, e-mailadressen en gehashte wachtwoorden.

Het ging om de gegevens van 6,42 miljoen klanten, zo stelde het bedrijf in eerste instantie. In juli 2019 bleek dat het om de gegevens van 39 miljoen klanten wereldwijd ging. Verder onderzoek wees uit dat Zoetop slechts een fractie van de getroffen klanten had gewaarschuwd en van geen enkel account de wachtwoorden had gereset. Ook claimde het bedrijf ten onrechte dat het geen bewijs had gevonden dat er creditcardgegevens van klanten waren gestolen, terwijl dit wel het geval was.

Naast de gegevens van 39 miljoen Shein-klanten ontdekte Zoetop pas twee jaar later dat de gegevens van 7 miljoen Romwe-klanten op internet te koop werden aangeboden. De gegevens waren zeer waarschijnlijk bij dezelfde aanval in 2018 buitgemaakt. Onderzoek naar het bedrijf wees uit dat het van een zwak algoritme gebruikmaakte voor het hashen van wachtwoorden, dat door een misconfiguratie creditcardgegevens van sommige transacties in plaintext debug-logbestanden terechtkwamen, er niet periodiek op kwetsbaarheden werd gescand, logbestanden niet regelmatig op incidenten werden gecontroleerd en er geen schriftelijk incidentresponsplan was om op aanvallen te reageren.

Volgens de procureur-generaal van de staat New York heeft de kledingketen persoonsgegevens van klanten niet goed beschermd en gelogen over de omvang. Naast het betalen van 1,9 miljoen dollar moet Zoetop ook maatregelen nemen om de bescherming van klantgegevens te versterken. "Deze overeenkomst is een duidelijke waarschuwing voor bedrijven dat ze hun digitale veiligheidsmaatregelen moeten versterken en transparant moeten zijn tegenover klanten, iets anders wordt niet getolereerd", zegt procureur-generaal Letitia James. Ze noemt het niet beschermen van klantgegevens en het liegen hierover "niet trendy".

Reacties (2)
18-10-2022, 12:47 door Anoniem
1,9 miljoen dollar lijkt me een schijntje bij zo'n groot lek met credit card gegevens en zwakke wachtwoord hashes. Maar ik ben niet bekend met boetes in vergelijkbare situaties, Home Depot ~$200 million in 2014 lijkt me vergelijkbaar (zie o.a. https://www.forbes.com/sites/katevinton/2014/09/18/with-56-million-cards-compromised-home-depots-breach-is-bigger-than-targets/?sh=694414813e74)
18-10-2022, 13:57 door Anoniem
Ze noemt het niet beschermen van klantgegevens en het liegen hierover "niet trendy".

Integendeel, liegen en bedriegen over van alles en nog wat is heel trendy! Ook het niet fatsoenlijk beschermen van klantgegevens is schering en inslag, zoals de bezoekers van deze site dag in dag uit kunnen lezen. Het is zaak om een trendbreuk te bewerkstelligen, en om het trendy te laten worden om de waarheid te spreken, ook al komt je dat even niet zo goed uit. Wishful thinking, maar wie weet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.