Kledingketen betaalt 1,9 miljoen dollar wegens liegen over omvang datalek
Kledingketen Zoetop, aanbieder van de merken Shein en Romwe, moet de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. Zoetop ontdekte het datalek niet zelf, maar werd eind 2018 ingelicht door de betalingsverwerker nadat die door een creditcardmaatschappij was gewaarschuwd. Criminelen hadden klantgegevens buitgemaakt, waaronder creditcardgegevens, namen, e-mailadressen en gehashte wachtwoorden.
Het ging om de gegevens van 6,42 miljoen klanten, zo stelde het bedrijf in eerste instantie. In juli 2019 bleek dat het om de gegevens van 39 miljoen klanten wereldwijd ging. Verder onderzoek wees uit dat Zoetop slechts een fractie van de getroffen klanten had gewaarschuwd en van geen enkel account de wachtwoorden had gereset. Ook claimde het bedrijf ten onrechte dat het geen bewijs had gevonden dat er creditcardgegevens van klanten waren gestolen, terwijl dit wel het geval was.
Naast de gegevens van 39 miljoen Shein-klanten ontdekte Zoetop pas twee jaar later dat de gegevens van 7 miljoen Romwe-klanten op internet te koop werden aangeboden. De gegevens waren zeer waarschijnlijk bij dezelfde aanval in 2018 buitgemaakt. Onderzoek naar het bedrijf wees uit dat het van een zwak algoritme gebruikmaakte voor het hashen van wachtwoorden, dat door een misconfiguratie creditcardgegevens van sommige transacties in plaintext debug-logbestanden terechtkwamen, er niet periodiek op kwetsbaarheden werd gescand, logbestanden niet regelmatig op incidenten werden gecontroleerd en er geen schriftelijk incidentresponsplan was om op aanvallen te reageren.
Volgens de procureur-generaal van de staat New York heeft de kledingketen persoonsgegevens van klanten niet goed beschermd en gelogen over de omvang. Naast het betalen van 1,9 miljoen dollar moet Zoetop ook maatregelen nemen om de bescherming van klantgegevens te versterken. "Deze overeenkomst is een duidelijke waarschuwing voor bedrijven dat ze hun digitale veiligheidsmaatregelen moeten versterken en transparant moeten zijn tegenover klanten, iets anders wordt niet getolereerd", zegt procureur-generaal Letitia James. Ze noemt het niet beschermen van klantgegevens en het liegen hierover "niet trendy".
Integendeel, liegen en bedriegen over van alles en nog wat is heel trendy! Ook het niet fatsoenlijk beschermen van klantgegevens is schering en inslag, zoals de bezoekers van deze site dag in dag uit kunnen lezen. Het is zaak om een trendbreuk te bewerkstelligen, en om het trendy te laten worden om de waarheid te spreken, ook al komt je dat even niet zo goed uit. Wishful thinking, maar wie weet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
