دارندگان CafePress با FTC بر سر حکم نقض اطلاعات توافق کردند
کمیسیون تجارت فدرال (FTC) روز جمعه اعلام کرد که دستوری را علیه CafePress نهایی کرده است و آن را ملزم به بهبود وضعیت امنیتی خود پس از یک حادثه امنیت سایبری کرده است که این شرکت تلاش کرده است آن را پنهان کند. کافه پرس یک خرده فروش آنلاین محصولاتی مانند تی شرت، کیف، تقویم و لیوان است که کاربران میتوانند آن را با طرح های گرافیکی یا متن های خود سفارشی کنند. همچنین به کاربران اجازه میدهد تا فروشگاههای مجازی روی پلتفرم قرار بگیرند. دستور FTC تقریباً چهار ماه پس از توافق بر سر شیوههای ضعیف امنیت سایبری به کار گرفته شده توسط CafePress نهایی شد، که منجر به به خطر افتادن اطلاعات شخصی حساس در نقض دادهها شده است.
دارندگان CafePress با FTC بر سر حکم نقض اطلاعات توافق کردند
داستان نقض اطلاعات کافه پرس
این نقض در سال 2019 آشکار شد و طبق گزارشها، 23 میلیون حساب کاربری را تحت تأثیر قرار داد. علیرغم تلاشهای مکرر برای وادار کردن شرکت به اقدام مناسب، کافه پرس نه تنها نتوانست سیستمهای خود را ایمن کند، بلکه تصمیم گرفت که مشتریان آسیبدیده را در مورد این و سایر حوادث امنیت سایبری مطلع نکند. شکایتی علیه مالک سابق CafePress Residual Pumpkin Entity LLC و علیه مالک فعلی PlanetArt LLC ثبت شد. این شکایت ادعا میکند که CafePress دادههای کاربران را بیش از زمان مورد نیاز حفظ کرده، شمارههای تامین اجتماعی را به صورت متنی ذخیره میکند، سیستمهای خود را در برابر تهدیدات شناخته شده ایمن نکرده است و نقض دادههای سال ۲۰۱۹ را پوشش میدهد. روز جمعه، FTC اعلام کرد که طبق سفارش نهایی خود، Residual Pumpkin و PlanetArt باید اقدامات امنیتی خود را از طریق اتخاذ احراز هویت چند عاملی بهبود بخشند، تا میزان دادههای جمعآوری شده را به حداقل برسانند و شمارههای تامین اجتماعی را رمزگذاری شده ذخیره کنند.
ادعای FTC درمورد نقض اطلاعات کافه پرس چه بود؟
FTC ادعا میکند که CafePress در اجرای اقدامات امنیتی معقول برای محافظت از اطلاعات حساس ذخیره شده در شبکه خود، از جمله شمارههای تامین اجتماعی متن ساده، رمزهای عبور نامناسب رمزگذاری شده و پاسخ به سوالات بازنشانی رمز عبور، شکست خورده است. دستور پیشنهادی کمیسیون، شرکت را ملزم میکند تا امنیت دادههای خود را تقویت کند و مالک سابق آن را ملزم میکند که نیم میلیون دلار برای جبران خسارت به مشاغل کوچک بپردازد.
دستور FTC به CafePress
طبق دستور FTC، هر یک از این دو شرکت باید یک برنامه جامع امنیت اطلاعات “که از حریم خصوصی، امنیت، محرمانه بودن و یکپارچگی این اطلاعات شخصی محافظت میکند” ظرف 60 روز پس از صدور دستور اجرا کنند. علاوه بر این، هر دو شرکت موظفند برنامههای امنیت اطلاعات خود را توسط شخص ثالث ارزیابی کنند و نسخهای از ارزیابی را به FTC ارائه دهند که میتواند به صورت عمومی به اشتراک گذاشته شود.
جریمه CafePress
علاوه بر این، FTC به Residual Pumpkin دستور داد 500000 دلار بپردازد که به عنوان کمک به قربانیان نقض داده ارسال خواهد شد و از PlanetArt خواست تا به مصرف کنندگانی که اطلاعات شخصی آنها در معرض خطر قرار گرفته است، اطلاع دهد. این دو شرکت همچنین ملزم به ارائه گواهینامه سالانه از یک مدیر ارشد شرکتی به FTC هستند که در آن انطباق آنها با دستور و شرح هر حادثه سایبری که ممکن است در طول دوره گواهینامه رخ داده است، توضیح دهد. تمام حوادث باید ظرف 30 روز به FTC گزارش شود.
آیا کافه پرس از نقض دادههای مشتریان خود آگاه بود؟
CafePress قبل از نقض دادهها در سال 2019 نیز از مشکلات امنیتی دادهها آگاه بود. بر اساس شکایت FTC، این شرکت متوجه شد که حسابهای برخی از مغازهداران حداقل تا ژانویه 2018 هک شده است، اتفاقی که منجر به بستن حسابهای در معرض خطر توسط CafePress و دریافت هزینه 25 دلاری بسته شدن حساب از صاحبان آن شد. شبکه این شرکت همچنین قبل از نقض امنیتی سال 2019 توسط چندین بدافزار مورد حمله قرار گرفت، که شرکت نتوانست به درستی آنها را بررسی کند.