colin thierry
Publicado el: 18 de Octubre de 2022
La empresa matriz del sitio web de moda femenina Shein, Zoetop, recibió una multa de $ 1.9 millones luego de ser acusada de mentir sobre la gravedad de su violación de datos y notificar "solo una fracción" de los clientes afectados.
Según los informes, en 2018, Shein fue víctima de un ciberataque que expuso los datos personales de más de seis millones de clientes.
Shein dijo en ese momento que los nombres, las direcciones de correo electrónico y las "credenciales de contraseñas cifradas" de "aproximadamente 6.42 millones de clientes" fueron robadas por piratas informáticos que habían plantado malware en sus servidores.
Sin embargo, una investigación realizada por la Oficina del Fiscal General del Estado de Nueva York descubrió más tarde que Zoetop no protegió adecuadamente los datos de los clientes de Shein y del sitio hermano Romwe antes del ataque, no restableció las contraseñas ni protegió ninguna de las cuentas expuestas de sus clientes. , y minimizó el alcance del ataque a los usuarios.
Posteriormente, se descubrió que los datos personales de 39 millones de usuarios de Shein estaban expuestos en todo el mundo, en lugar de los 6.42 millones de cuentas que inicialmente informó la empresa.
Según los investigadores, Shein no alertó a la "gran mayoría de las cuentas de Shein afectadas" y dejó en riesgo a 32.5 millones de clientes.
La afirmación de Zoetop de que "no había visto evidencia de que la información de la tarjeta de crédito fuera tomada de nuestros sistemas" también era falsa. La compañía no identificó que fue víctima de una violación de datos hasta que un procesador de pagos le notificó que había indicios de que los sistemas de Zoetop fueron infiltrados y se robaron los datos de la tarjeta.
La semana pasada, la fiscal general de Nueva York, Letitia James anunció que la empresa matriz de Shein, Zoetop, estaba siendo multada con 1.9 millones de dólares y debía mejorar su ciberseguridad.
“Las débiles medidas de seguridad digital de Shein y Romwe facilitaron que los piratas informáticos robaran los datos personales de los consumidores”, dijo la Fiscal General James en su declaración. “Mientras los neoyorquinos compraban las últimas tendencias en Shein y Romwe, sus datos personales fueron robados y Zoetop trató de encubrirlo. No proteger los datos personales de los consumidores y mentir al respecto no está de moda. Shein y Romwe deben reforzar sus medidas de ciberseguridad para proteger a los consumidores del fraude y el robo de identidad. Este acuerdo debería enviar una clara advertencia a las empresas de que deben fortalecer sus medidas de seguridad digital y ser transparentes con los consumidores, no se tolerará nada menos”.
También se ordenó a Zoetop que mantenga un programa integral de seguridad de la información que incluye un hashing más fuerte de las contraseñas de los clientes, monitoreo de la red en busca de actividades sospechosas, escaneo de vulnerabilidades de la red y políticas de respuesta a incidentes que requieren una investigación oportuna, notificación oportuna al cliente y restablecimiento rápido de contraseñas.
