Генеральный прокурор Джеймс добился выплаты $1,9 млн. от компании SHEIN, занимающейся электронной коммерцией, и владельца ROMWE компании Zoetop за неспособность защитить данные потребителей

Компания Zoetop не уведомила все 39 миллионов покупателей SHEIN о взломе данных
и преуменьшила масштабы взлома для потребителей

Более 800 000 жителей Нью-Йорка пострадали от утечки данных SHEIN и ROMWE

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс сегодня добилась выплаты 1,9 миллиона долларов США от розничной компании электронной коммерции Zoetop Business Company, Ltd. (Zoetop). (Zoetop) за неспособность должным образом справиться с утечкой данных, которая поставила под угрозу личную информацию десятков миллионов потребителей по всему миру, и за ложь о масштабах утечки данных потребителям. Компания Zoetop, владеющая и управляющая популярными брендами электронной коммерции SHEIN и ROMWE, допустила утечку данных, в результате которой были похищены 39 миллионов учетных записей SHEIN и 7 миллионов учетных записей ROMWE, включая учетные записи более 800 000 жителей Нью-Йорка. SHEIN и ROMWE - популярные сайты для покупок, которыми часто пользуются миллениалы и представители поколения Z. Расследование, проведенное Генеральной прокуратурой (OAG), показало, что компания не обеспечила надлежащую защиту информации потребителей до утечки данных, не предприняла адекватных мер по защите многих затронутых учетных записей после утечки и преуменьшила масштабы кибератаки для потребителей. В результате сегодняшнего соглашения компания Zoetop должна выплатить штату 1,9 миллиона долларов в виде штрафов и усилить меры кибербезопасности для защиты информации потребителей.

"Слабые меры цифровой безопасности компаний SHEIN и ROMWE позволили хакерам легко похитить личные данные потребителей", - заявил генеральный прокурор Джеймс. "Пока жители Нью-Йорка покупали последние тренды на SHEIN и ROMWE, их личные данные были украдены, а компания Zoetop пыталась скрыть это. Не защищать личные данные потребителей и лгать об этом - не модно. SHEIN и ROMWE должны усилить меры кибербезопасности, чтобы защитить потребителей от мошенничества и кражи личных данных. Это соглашение должно послужить четким предупреждением для компаний, что они должны усилить свои меры цифровой безопасности и быть прозрачными с потребителями, меньшее не допустимо".

В июне 2018 года компания Zoetop подверглась кибератаке. Злоумышленники похитили информацию о кредитных картах и личные данные, включая имена, адреса электронной почты и хэшированные пароли учетных записей некоторых клиентов Zoetop, в том числе покупателей SHEIN. Компания Zoetop не обнаружила вторжения и позже получила уведомление от своего платежного процессора о том, что ее системы, похоже, были взломаны. Процессор платежей сообщил, что с ним связались крупная сеть кредитных карт и банк-эмитент кредитных карт, каждый из которых располагал информацией, "указывающей на то, что в систему [Zoetop] проникли и данные карт были украдены". 

После кибератаки компания Zoetop привлекла фирму по кибербезопасности для проведения судебной экспертизы. Компания по кибербезопасности подтвердила, что злоумышленники получили доступ к внутренней сети Zoetop и изменили код, отвечающий за обработку транзакций клиентов, в попытке перехватить и выудить информацию о кредитных картах клиентов. Компания по кибербезопасности также обнаружила, что злоумышленники выудили личную информацию клиентов SHEIN, включая имена, адреса электронной почты и хэшированные пароли от учетных записей. По всему миру были похищены учетные данные 39 миллионов учетных записей SHEIN, включая учетные данные более 375 000 жителей Нью-Йорка.

Расследование OAG показало, что компания Zoetop связалась лишь с частью из 39 миллионов учетных записей SHEIN, учетные данные которых были скомпрометированы, и не сбросила пароли и не защитила каким-либо другим способом ни одну из подвергшихся риску учетных записей. В отношении подавляющего большинства учетных записей SHEIN, пострадавших от взлома - более 32,5 миллионов учетных записей по всему миру и 255 294 жителей Нью-Йорка - компания Zoetop даже не предупредила этих клиентов о том, что их учетные данные были украдены.  

Кроме того, публичные заявления компании Zoetop об утечке данных содержали несколько ложных сведений о размере и масштабах утечки. Например, Zoetop ложно заявила, что в результате утечки информации пострадали только 6,42 миллиона потребителей и что компания находится в процессе уведомления всех пострадавших клиентов. Zoetop также лживо заявила, что "не видела никаких доказательств того, что информация о кредитных картах [клиентов] была взята из наших систем".    

Два года спустя компания Zoetop обнаружила учетные данные для входа в учетные записи клиентов ROMWE в темной паутине. По результатам судебной экспертизы компания Zoetop пришла к выводу, что учетные данные для входа в ROMWE, скорее всего, были удалены в 2018 году в результате той же атаки, которая затронула учетные записи SHEIN. Zoetop сбросила пароли затронутых учетных записей и уведомила затронутых потребителей ROMWE. В общей сложности были украдены учетные данные более 7 миллионов аккаунтов ROMWE, из которых почти 500 000 принадлежали жителям Нью-Йорка.

OAG установило, что на момент утечки данных в 2018 году компания Zoetop не соблюдала разумные меры безопасности для защиты данных клиентов в нескольких областях:

  • Управление паролями: До августа 2018 года компания Zoetop хэшировала пароли клиентов с помощью алгоритма, который, как было известно на тот момент, был недостаточен для защиты от атак.
  • Защита чувствительной информации о клиентах: Zoetop неправильно сконфигурировала свои системы, чтобы хранить информацию о кредитных картах из некоторых транзакций в файле журнала отладки открытым текстом, что менее безопасно и легче для хакеров. Кроме того, во время утечки информации компания Zoetop не провела сканирование, чтобы определить, где в ее системах хранились данные о держателях карт. 
  • Мониторинг: Zoetop не проводила регулярное внешнее сканирование уязвимостей, не осуществляла регулярный мониторинг и не просматривала журналы аудита для выявления инцидентов безопасности.
  • Реагирование на инцидент: У компании Zoetop не было всеобъемлющего письменного плана реагирования на инциденты в случае кибератаки. Кроме того, после утечки данных в 2018 году компания Zoetop не приняла своевременных мер для защиты многих пострадавших клиентов.

В результате сегодняшнего соглашения компания Zoetop должна выплатить Нью-Йорку 1 900 000 долларов США в виде штрафов и издержек. Кроме того, компания Zoetop должна поддерживать комплексную программу информационной безопасности, включающую надежное хэширование паролей клиентов, мониторинг сети на предмет подозрительной активности, сканирование уязвимостей сети, а также политику реагирования на инциденты, требующую своевременного расследования, своевременного уведомления потребителей и быстрого сброса пароля. 

Этим делом занимались помощник генерального прокурора Ханна Бэк и старший юрисконсульт по правоприменению Джордан Адлер из Бюро интернета и технологий под руководством начальника Бюро Кима А. Бергера и заместителя начальника Бюро Кларка П. Рассела. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который курируют главный заместитель генерального прокурора Крис Д'Анджело и первый заместитель генерального прокурора Дженнифер Леви.