Генеральный прокурор Джеймс взыскал 300 000 долларов с интернет-магазинов спортивных товаров за неспособность защитить личную информацию потребителей

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс добилась выплаты 300 тыс. долл. от компании Sports Warehouse Inc. (Sports Warehouse), занимающейся розничной торговлей спортивными товарами через Интернет, за неспособность защитить персональные данные 2,5 млн. потребителей. Компания Sports Warehouse, владеющая сайтами Tennis Warehouse, Running Warehouse, Skate Warehouse и Tackle Warehouse, не обеспечила должной безопасности данных, что сделало ее уязвимой к утечке информации в 2021 году, в результате которой были скомпрометированы личные данные потребителей, включая информацию о кредитных картах и адреса электронной почты более чем 136 тыс. жителей Нью-Йорка. В результате данного соглашения компания Sports Warehouse должна выплатить штату штрафные санкции в размере 300 тыс. долл. и усилить меры кибербезопасности для защиты частной информации потребителей. 

"Компания Sports Warehouse управляла своими компаниями без надлежащего оборудования для защиты онлайн-покупателей от кибератак, и сегодня она расплачивается за то, что поставила под угрозу конфиденциальность цифровых данных потребителей", - заявил генеральный прокурор Джеймс. "Когда мы покупаем теннисные туфли или спортивную одежду через Интернет, мы не ожидаем, что воры убегут с данными нашей кредитной карты или другой личной информацией. Жители Нью-Йорка заслуживают уверенности в том, что их частная информация находится в безопасности, и мы будем продолжать преследовать компании, нарушающие это право, и добиваться, чтобы они улучшили свои методы защиты данных".  

В 2021 году злоумышленник получил доступ к серверам дочерней компании Sports Warehouse, по-видимому, пытаясь определить учетные данные путем многократных проб и ошибок. Получив доступ к серверам компаний, злоумышленник создал несколько веб-оболочек, чтобы получить удаленный доступ к торговому серверу компаний Sports Warehouse, на котором хранилась информация о платежных картах почти всех покупателей, совершенных через их сайты с 2002 года. В ходе расследования, проведенного компаниями Sports Warehouse, выяснилось, что злоумышленник также получил доступ к адресам электронной почты и паролям некоторых клиентов. В общей сложности злоумышленники потенциально получили доступ к информации о непросроченных платежных картах 1 813 224 потребителей, включая 101 558 жителей Нью-Йорка, и учетным данным 1 180 939 потребителей, включая 82 757 жителей Нью-Йорка.   

Генеральная прокуратура (OAG) установила, что компании Sports Warehouse не приняли разумных мер по защите личной информации потребителей. В частности, OAG установила, что компании Sports Warehouse не обеспечили шифрование личной информации потребителей на своих серверах и не применили соответствующие методы удаления данных.  

В результате сегодняшнего соглашения компании Sports Warehouse должны выплатить штату 300 000 долларов США в качестве штрафов и принять меры по улучшению защиты личной информации потребителей в будущем, включая: 

• Поддержание комплексной программы информационной безопасности, включающей регулярное обновление с учетом изменений в технологиях и угроз безопасности, а также информирование руководства компании о рисках безопасности; 
• Шифрование частной информации, которую компании собирают, используют, хранят и поддерживают;  
• Усиление требований к паролям клиентов и хэширование всех хранимых паролей;  
• Разработка программы тестирования на проникновение, которая включает регулярное тестирование сетевой безопасности компаний; и, 
• Обновление практики сбора и хранения данных, включая сбор данных в минимальном объеме, необходимом для выполнения законных деловых функций, и окончательное удаление всех таких данных, когда больше нет разумно предсказуемой деловой или юридической цели для сохранения такой информации. 

Эти действия являются продолжением постоянных усилий генерального прокурора Джеймса по защите личной информации потребителей и привлечению компаний к ответственности за низкий уровень кибербезопасности. Ранее на этой неделе генеральный прокурор Джеймс взыскал 550 000 долл. с компании по управлению медицинскими учреждения ми за неспособность защитить частную информацию пациентов. В прошлом месяце генеральный прокурор Джеймс выпустил всеобъемлющее руководство по безопасности данных, призванное помочь компаниям лучше защищать личную информацию жителей Нью-Йорка. В декабре 2022 г. генеральный прокурор Джеймс взыскал 200 000 долл. с производителя студенческих шапок и халатов Herff Jones за неспособность защитить личную информацию потребителей. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,2 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой были скомпрометированы персональные данные миллионов потребителей по всей стране. В июне 2022 г. генеральный прокурор Джеймс взыскал с компании Wegmans 400 тыс. долл. и обязал ее повысить безопасность хранения данных после того, как в результате утечки информации была раскрыта личная информация потребителей. В марте 2022 г. генеральный прокурор Джеймс выпустил предупреждение для потребителей, в котором рекомендовал клиентам компании T-Mobile принять соответствующие меры для защиты своих персональных данных после утечки информации.  

Этим вопросом занимались помощник генерального прокурора Лора Мумм и заместитель начальника бюро Кларк Рассел при особой помощи аналитика по Интернету и технологиям Нишаанта Госвами из Бюро по Интернету и технологиям под руководством начальника бюро Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.