Shein母公司因客戶數(shù)據(jù)泄露被罰款190萬(wàn)美元

發(fā)布時(shí)間：2025-02-14

10月13日消息，shein母公司zoetop被紐約州罰款190萬(wàn)美元，罰款的原因是zoetop未能保護(hù)好客戶的數(shù)據(jù)，導(dǎo)致數(shù)千萬(wàn)客戶的數(shù)據(jù)被泄露，并試圖淡化數(shù)據(jù)泄露的影響。
此次罰款是紐約司法部長(zhǎng)辦公室對(duì)2018年的一次黑客攻擊進(jìn)行調(diào)查后作出的。2018年，zoetop遭受網(wǎng)絡(luò)攻擊，攻擊者竊取了某些zoetop客戶（包括shein購(gòu)物者）的信用卡信息和個(gè)人信息，包括姓名、電子郵件地址和散列帳戶密碼。
該數(shù)據(jù)泄露事件影響了3900萬(wàn)shein和700萬(wàn)romwe賬戶，包括屬于紐約人的80多萬(wàn)個(gè)賬戶。
（圖源紐約州總檢察長(zhǎng)辦公室官網(wǎng)）
紐約總檢察長(zhǎng)辦公室（oag）調(diào)查發(fā)現(xiàn)，在zoetop得知黑客攻擊后，該公司只聯(lián)系了部分受影響的客戶，沒(méi)有為任何賬戶重置密碼，也沒(méi)有提醒客戶其登錄憑據(jù)已被盜取。
在2018年數(shù)據(jù)泄露事件發(fā)生時(shí)，zoetop未能在以下幾個(gè)方面維持合理的安全措施來(lái)保護(hù)客戶數(shù)據(jù)：
第一，2018年網(wǎng)絡(luò)攻擊事件之前，zoetop使用當(dāng)時(shí)已知不足以抵御攻擊的算法對(duì)客戶密碼進(jìn)行保護(hù)；
第二，zoetop錯(cuò)誤地配置了其系統(tǒng)，將某些交易的信用卡信息以純文本形式存儲(chǔ)在調(diào)試日志文件中，這種做法安全性較低，黑客更容易訪問(wèn)。在違規(guī)發(fā)生時(shí)，zoetop未能執(zhí)行掃描以確定其系統(tǒng)上持卡人數(shù)據(jù)的存儲(chǔ)位置。?
第三，zoetop沒(méi)有定期進(jìn)行外部漏洞掃描，也沒(méi)有定期監(jiān)控或?qū)彶閷徲?jì)日志以識(shí)別安全事件。
（圖源紐約州總檢察長(zhǎng)辦公室官網(wǎng)）
第四，在2018年數(shù)據(jù)泄露之后，zoetop未能及時(shí)采取行動(dòng)保護(hù)許多受影響的客戶。該公司并未制定全面的計(jì)劃來(lái)應(yīng)對(duì)網(wǎng)絡(luò)攻擊。
根據(jù)協(xié)議，zoetop必須向紐約支付1,900,000美元的罰款和費(fèi)用。此外，zoetop必須維護(hù)一個(gè)全面的信息安全計(jì)劃，其中包括客戶密碼的強(qiáng)大散列、可疑活動(dòng)的網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)漏洞掃描以及需要及時(shí)調(diào)查、及時(shí)通知消費(fèi)者和提示密碼重置的事件響應(yīng)策略。?
值得一提的是，目前shein估值已達(dá)1000億美元。shein曾尋求今年在美國(guó)進(jìn)行ipo，而現(xiàn)在該公司尋求在2024年在美國(guó)進(jìn)行首次公開(kāi)募股。