近日，美國聯(lián)邦貿(mào)易委員會(huì)(The Federal Trade Commission，下稱FTC)宣布，針對(duì)此前定制商品零售商CafePress泄露超2300萬用戶個(gè)人信息一事做出最終決定，要求該公司向受數(shù)據(jù)泄露影響的受害者賠償共50萬美元。同時(shí)，全面加強(qiáng)數(shù)據(jù)安全保障，實(shí)行多重身份認(rèn)證機(jī)制，將收集和存儲(chǔ)的用戶信息數(shù)量降至最低。

公開資料顯示，CafePress是美國一家知名定制商品零售公司，截至2011年3月，CafePress擁有超過1300萬會(huì)員，其網(wǎng)站上有超過3.25億種產(chǎn)品。2020年9月，該公司被PlanetArt收購。

據(jù)報(bào)道，2019年2月，CafePress的服務(wù)器遭遇黑客入侵，隨后超過2300萬CafePress用戶的個(gè)人信息在網(wǎng)絡(luò)犯罪論壇上被發(fā)布和出售。其中包括數(shù)百萬用戶姓名、地址、密保問題和答案以及加密程度較弱的用戶電子郵件地址和密碼，超過18萬個(gè)未加密的身份證號(hào)碼，還有大量的用戶支付卡賬號(hào)信息。

FTC就此對(duì)CafePress提起訴訟。訴狀顯示，CafePress一直拖延到2019年9月才披露上述數(shù)據(jù)泄露事件。在此期間，CafePress收到了來自多方的安全警告，但其向用戶隱瞞了這一事實(shí)，只是以密碼政策更新為由告知用戶需重置密碼。盡管CafePress在數(shù)據(jù)泄露發(fā)生后對(duì)黑客入侵的漏洞進(jìn)行了修補(bǔ)，但并未對(duì)此事件展開全面調(diào)查，并依然允許用戶使用已經(jīng)被黑客獲取的信息登錄其賬戶。

不僅如此，F(xiàn)TC還針對(duì)CafePress的安全保障措施提出質(zhì)疑，認(rèn)為CafePress以明文形式存儲(chǔ)用戶的身份證號(hào)和密保問題及答案的做法欠妥;同時(shí)，其存儲(chǔ)用戶個(gè)人信息的時(shí)間超過了必要時(shí)限。此外，CafePress還曾欺騙用戶，在向用戶承諾只會(huì)將其收集的信息用于履行訂單的情況下，利用用戶郵箱地址進(jìn)行營銷。

FTC認(rèn)定，CafePress在2019年數(shù)據(jù)泄露事件發(fā)生之前就知道其數(shù)據(jù)安全方面存在問題。2018年1月，當(dāng)CafePress得知某些用戶賬戶遭受黑客攻擊時(shí)，其關(guān)閉了這些賬戶，并向受害者收取了25美元的賬戶關(guān)閉費(fèi)。在2019年的嚴(yán)重?cái)?shù)據(jù)泄露發(fā)生之前，CafePress已多次被惡意軟件入侵，但其并未調(diào)查此類攻擊的來源。

“CafePress采用了簡陋的安全措施，并向消費(fèi)者隱瞞了多個(gè)漏洞。”FTC消費(fèi)者保護(hù)局局長塞繆爾·萊文(Samuel Levine)曾表示，“應(yīng)對(duì)CafePress松懈的安全措施進(jìn)行問責(zé)，并對(duì)受到影響的小企業(yè)進(jìn)行賠償，通過采取多重身份認(rèn)證等特定的安全措施來更好地保護(hù)個(gè)人信息。”

近日，F(xiàn)TC宣布了針對(duì)CafePress數(shù)據(jù)泄露事件的最終決定。CafePress需向受數(shù)據(jù)泄露影響的受害者賠償共50萬美元，及時(shí)通知遭受數(shù)據(jù)泄露的受害者，并告知他們?cè)撊绾伪Ｗo(hù)自己的個(gè)人信息。

此外，CafePress及其實(shí)際控制者被還要求必須采取全面的數(shù)據(jù)安全保障措施，包括施行多重身份驗(yàn)證機(jī)制，最大限度地減少收集和存儲(chǔ)用戶個(gè)人信息的數(shù)量;對(duì)用戶的身份證號(hào)碼進(jìn)行加密，以及讓第三方對(duì)其數(shù)據(jù)安全保障機(jī)制進(jìn)行評(píng)估，并向FTC提供一份適合公開披露的評(píng)估報(bào)告。

關(guān)鍵詞： CafePress泄露2300萬用戶信息被罰50萬美元 數(shù)據(jù)泄漏事件 用戶個(gè)人信息保護(hù) 數(shù)據(jù)安全保障措施