Nieuws
image

Twintigduizend slachtoffers van datalek CafePress krijgen elk 18 dollar

donderdag 19 september 2024, 10:17 door Redactie, 5 reacties

Twintigduizend mensen die slachtoffer werden van het datalek bij CafePress, waarbij onder andere het social-securitynummer werd gestolen, krijgen elk een schadevergoeding van 18 dollar. Dat laat de Amerikaanse toezichthouder FTC weten. Via CafePress worden allerlei voorbedrukte producten aangeboden zoals T-shirts en koffiemokken, maar kunnen klanten ook hun eigen ontwerpen maken, bestellen of aanbieden. De website claimt dat meer dan twee miljoen ontwerpers hun producten via CafePress aanbieden.

Volgens de FTC wist een aanvaller in februari 2019 misbruik te maken van een kwetsbaarheid en kon zo e-mailadressen, namen, telefoonnummers, wachtwoordhashes, securityvragen en antwoorden en adresgegevens van 23,2 miljoen accounts buitmaken, alsmede onversleutelde social-securitynummers van 185.000 mensen en tienduizenden gedeeltelijke creditcardnummers en verloopdata. Sommige van de informatie werd vervolgens op internet te koop aangeboden.

Een maand nadat CafePress was gewaarschuwd voor de kwetsbaarheid en dat aanvallers klantgegevens hadden buitgemaakt werd het beveiligingslek pas verholpen. Ondanks herhaaldelijke waarschuwingen, waaronder van een buitenlandse regering in april 2019, stelde CafePress pas maanden later een onderzoek in. Het niet nader genoemde land waarschuwde CafePress dat klantgegevens waren buitgemaakt en het bedrijf klanten zou moeten waarschuwen. CafePress besloot klanten alleen te vertellen dat ze hun wachtwoorden als onderdeel van nieuw wachtwoordbeleid moesten aanpassen.

Pas in september 2019, een maand nadat het datalek breed in de media was gekomen, kwam CafePress met een waarschuwing aan klanten. Volgens de FTC zorgden de lakse beveiligingsmaatregelen van CafePress ervoor dat klanten nog steeds risico liepen. Zo konden mensen hun wachtwoord resetten door de securityvragen te beantwoorden die bij de aanval waren buitgemaakt.

In 2022 schikte de FTC met CafePress, dat onder andere 500.000 dollar als compensatie voor slachtoffers zou betalen. De FTC liet begin dit jaar weten dat het 185.000 mensen van wie het social-securitynummer is gestolen ging informeren dat ze mogelijk recht op een vergoeding hebben. Uiteindelijk hebben twintigduizend mensen een geldige claim ingediend, aldus de toezichthouder. Over deze groep wordt een bedrag van 370.000 dollar verdeeld, wat neerkomt op een vergoeding van iets meer dan 18 dollar per slachtoffer. De personen zullen een cheque of betaling via Paypal ontvangen.

Reacties (5)
Reageer met quote
19-09-2024, 10:22 door Anoniem
Social security-nummer bekend bij een merchandise-boer? Qué?
Reageer met quote
19-09-2024, 11:37 door Anoniem
Misschien ook bij aantoonbaar bewijs schade door verlies BSN ook dat bedrag laten vergoeden door het bedrijf die het heeft laten lekken?
Het zou bedrijven motiveren een stuk voorzichter laten omgaan met uw data.
Reageer met quote
19-09-2024, 12:31 door Anoniem
Door Anoniem: Social security-nummer bekend bij een merchandise-boer? Qué?
In Nederland zou een dergelijk bedrijf BTW-nummers (die bij een ZZP gebaseerd zijn op haar burgernummer) van de aanbieders moeten opslaan om de uitbetalingen aan de aanbieders bij de belastingdienst te verantwoorden. Geen idee hoe het in de VS zit, maar iets dergelijks zou me helemaal niet verbazen.
Reageer met quote
19-09-2024, 12:32 door Anoniem
Door Anoniem: Social security-nummer bekend bij een merchandise-boer? Qué?

Inderdaad in het kader van avg data minimalisatie is dat een gerechtvaardigde vraag in Europa. Maar ja privacywetgeving in de usa staat nog in de pre-babyschoenen.
Reageer met quote
21-09-2024, 09:03 door Anoniem
Door Anoniem:
Door Anoniem: Social security-nummer bekend bij een merchandise-boer? Qué?
In Nederland zou een dergelijk bedrijf BTW-nummers (die bij een ZZP gebaseerd zijn op haar burgernummer) van de aanbieders moeten opslaan om de uitbetalingen aan de aanbieders bij de belastingdienst te verantwoorden. Geen idee hoe het in de VS zit, maar iets dergelijks zou me helemaal niet verbazen.

Ik de VS is SSN niet dual use. Inmiddels is voor eenmans bedrijven een RSN beschikbaar ( RSN = BSN voor niet natuurlijke personen).
BSN/RSN is voor alle overheids contacten, SSN niet.

Dus idd SSN bij een merchendise bedrijf, Que...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure