دارندگان CafePress با FTC بر سر حکم نقض اطلاعات توافق کردند

دارندگان CafePress با FTC بر سر حکم نقض اطلاعات توافق کردند

کمیسیون تجارت فدرال (FTC) روز جمعه اعلام کرد که دستوری را علیه CafePress نهایی کرده است و آن را ملزم به بهبود وضعیت امنیتی خود پس از یک حادثه امنیت سایبری کرده است که این شرکت تلاش کرده است آن را پنهان کند. کافه پرس یک خرده فروش آنلاین محصولاتی مانند تی شرت، کیف، تقویم و لیوان است که کاربران می‌توانند آن را با طرح های گرافیکی یا متن های خود سفارشی کنند. هم‌چنین به کاربران اجازه می‌دهد تا فروشگاه‌های مجازی روی پلتفرم قرار بگیرند. دستور FTC تقریباً چهار ماه پس از توافق بر سر شیوه‌های ضعیف امنیت سایبری به کار گرفته شده توسط CafePress نهایی شد، که منجر به به خطر افتادن اطلاعات شخصی حساس در نقض داده‌ها شده است.

دارندگان CafePress با FTC بر سر حکم نقض اطلاعات توافق کردند

داستان نقض اطلاعات کافه پرس

این نقض در سال 2019 آشکار شد و طبق گزارش‌ها، 23 میلیون حساب کاربری را تحت تأثیر قرار داد. علیرغم تلاش‌های مکرر برای وادار کردن شرکت به اقدام مناسب، کافه پرس نه تنها نتوانست سیستم‌های خود را ایمن کند، بلکه تصمیم گرفت که مشتریان آسیب‌دیده را در مورد این و سایر حوادث امنیت سایبری مطلع نکند. شکایتی علیه مالک سابق CafePress Residual Pumpkin Entity LLC و علیه مالک فعلی PlanetArt LLC ثبت شد. این شکایت ادعا می‌کند که CafePress داده‌های کاربران را بیش از زمان مورد نیاز حفظ کرده، شماره‌های تامین اجتماعی را به صورت متنی ذخیره می‌کند، سیستم‌های خود را در برابر تهدیدات شناخته‌ شده ایمن نکرده است و نقض داده‌های سال ۲۰۱۹ را پوشش می‌دهد. روز جمعه، FTC اعلام کرد که طبق سفارش نهایی خود، Residual Pumpkin و PlanetArt باید اقدامات امنیتی خود را از طریق اتخاذ احراز هویت چند عاملی بهبود بخشند، تا میزان داده‌های جمع‌آوری شده را به حداقل برسانند و شماره‌های تامین اجتماعی را رمزگذاری شده ذخیره کنند.

ادعای FTC درمورد نقض اطلاعات کافه پرس چه بود؟

FTC ادعا می‌کند که CafePress در اجرای اقدامات امنیتی معقول برای محافظت از اطلاعات حساس ذخیره شده در شبکه خود، از جمله شماره‌های تامین اجتماعی متن ساده، رمزهای عبور نامناسب رمزگذاری شده و پاسخ به سوالات بازنشانی رمز عبور، شکست خورده است. دستور پیشنهادی کمیسیون، شرکت را ملزم می‌کند تا امنیت داده‌های خود را تقویت کند و مالک سابق آن را ملزم می‌کند که نیم میلیون دلار برای جبران خسارت به مشاغل کوچک بپردازد.

دستور FTC به CafePress

طبق دستور FTC، هر یک از این دو شرکت باید یک برنامه جامع امنیت اطلاعات‌ “که از حریم خصوصی، امنیت، محرمانه بودن و یکپارچگی این اطلاعات شخصی محافظت می‌کند” ظرف 60 روز پس از صدور دستور اجرا کنند. علاوه بر این، هر دو شرکت موظفند برنامه‌های امنیت اطلاعات خود را توسط شخص ثالث ارزیابی کنند و نسخه‌ای از ارزیابی را به FTC ارائه دهند که می‌تواند به صورت عمومی به اشتراک گذاشته شود.

جریمه CafePress

علاوه بر این، FTC به Residual Pumpkin دستور داد 500000 دلار بپردازد که به عنوان کمک به قربانیان نقض داده ارسال خواهد شد و از PlanetArt خواست تا به مصرف کنندگانی که اطلاعات شخصی آن‌ها در معرض خطر قرار گرفته است، اطلاع دهد. این دو شرکت هم‌چنین ملزم به ارائه گواهینامه سالانه از یک مدیر ارشد شرکتی به FTC هستند که در آن انطباق آن‌ها با دستور و شرح هر حادثه سایبری که ممکن است در طول دوره گواهینامه رخ داده است، توضیح دهد. تمام حوادث باید ظرف 30 روز به FTC گزارش شود.

آیا کافه پرس از نقض داده‌های مشتریان خود آگاه بود؟

CafePress قبل از نقض داده‌ها در سال 2019 نیز از مشکلات امنیتی داده‌ها آگاه بود. بر اساس شکایت FTC، این شرکت متوجه شد که حساب‌های برخی از مغازه‌داران حداقل تا ژانویه 2018 هک شده است، اتفاقی که منجر به بستن حساب‌های در معرض خطر توسط CafePress و دریافت هزینه 25 دلاری بسته شدن حساب از صاحبان آن شد. شبکه این شرکت هم‌چنین قبل از نقض امنیتی سال 2019 توسط چندین بدافزار مورد حمله قرار گرفت، که شرکت نتوانست به درستی آن‌ها را بررسی کند.