La Federal Trade Commission des États-Unis a proposé un règlement qui infligera une amende de 500 000 $ à l’ancien propriétaire du détaillant américain de vêtements et de marchandises sur mesure CafePress pour avoir tenté de dissimuler une violation de données de 2019 qui a exposé les données sensibles de millions d’utilisateurs.
Les pirates ont piraté les serveurs de CafePress en février 2019 et ont ensuite publié les informations personnelles de plus de 23 millions d’utilisateurs sur des forums de cybercriminalité connus. Cela comprenait des millions d’adresses e-mail et de mots de passe, des noms non cryptés, des adresses physiques, des questions et réponses de sécurité et plus de 180 000 numéros de sécurité sociale non cryptés.
Dans une plainte déposée contre l’ancien propriétaire de CafePress Residual Pumpkin Entity et l’actuel propriétaire PlanetArt, la FTC a déclaré que la société n’avait divulgué la violation de données qu’en septembre 2019, un mois après qu’elle ait été largement rapportée dans les médias. Alors que CafePress avait corrigé la vulnérabilité utilisée par les pirates, la société n’a pas enquêté correctement sur l’incident pendant plusieurs mois, selon la FTC, et a continué à permettre aux consommateurs d’utiliser les informations exposées dans le piratage pour se connecter à leurs comptes.
La plainte de la FTC conteste également les «pratiques de sécurité de mauvaise qualité» des organisations, qui comprenaient le stockage des numéros de sécurité sociale et des réponses de réinitialisation du mot de passe des clients en texte clair et le stockage des données des utilisateurs plus longtemps que nécessaire.
CafePress était également conscient qu’il avait des problèmes de sécurité des données avant la violation de données de 2019. Selon la plainte de la FTC, la société a découvert que les comptes de certains commerçants avaient été piratés au moins en janvier 2018, un incident qui a conduit CafePress à fermer les comptes compromis et à facturer aux propriétaires des frais de fermeture de compte de 25 $.
Le réseau de l’entreprise a également été touché par plusieurs infections de logiciels malveillants avant la faille de sécurité de 2019, sur laquelle l’entreprise n’a pas enquêté correctement, a déclaré la FTC, et elle a également « induit les utilisateurs en erreur en utilisant des adresses e-mail à des fins de marketing malgré ses promesses que ces informations ne seraient utilisées que pour exécuter les commandes que les consommateurs avaient passées.
« CafePress a utilisé des pratiques de sécurité imprudentes et a dissimulé de multiples violations aux consommateurs », a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. « Ces ordonnances renforcent la responsabilité des pratiques de sécurité laxistes, exigeant des réparations pour les petites entreprises qui ont été lésées, et des contrôles spécifiques, comme l’authentification multifacteur, pour mieux protéger les informations personnelles. »
Dans le cadre du règlement, Residual Pumpkin et PlanetArt seront tenus de déployer des programmes complets de sécurité des informations qui résoudront les problèmes qui ont conduit aux violations de données chez CafePress. Il s’agira notamment de remplacer les mesures d’authentification inadéquates, telles que les questions de sécurité, par des méthodes d’authentification multifactorielles, de minimiser la quantité de données collectées et conservées et de chiffrer les numéros de sécurité sociale.
Les porte-parole de Residual Pumpkin et PlanetArt n’ont pas répondu aux demandes de commentaires avant la publication.