Shein母公司因客戶數(shù)據(jù)泄露被罰款190萬美元

10月13日消息，Shein母公司Zoetop被紐約州罰款190萬美元，罰款的原因是Zoetop未能保護(hù)好客戶的數(shù)據(jù)，導(dǎo)致數(shù)千萬客戶的數(shù)據(jù)被泄露，并試圖淡化數(shù)據(jù)泄露的影響。

此次罰款是紐約司法部長辦公室對2018年的一次黑客攻擊進(jìn)行調(diào)查后作出的。2018年，Zoetop遭受網(wǎng)絡(luò)攻擊，攻擊者竊取了某些Zoetop客戶（包括SHEIN購物者）的信用卡信息和個人信息，包括姓名、電子郵件地址和散列帳戶密碼。

該數(shù)據(jù)泄露事件影響了3900萬Shein和700萬Romwe賬戶，包括屬于紐約人的80多萬個賬戶。

（圖源紐約州總檢察長辦公室官網(wǎng)）

紐約總檢察長辦公室（OAG）調(diào)查發(fā)現(xiàn)，在Zoetop得知黑客攻擊后，該公司只聯(lián)系了部分受影響的客戶，沒有為任何賬戶重置密碼，也沒有提醒客戶其登錄憑據(jù)已被盜取。

在2018年數(shù)據(jù)泄露事件發(fā)生時，Zoetop未能在以下幾個方面維持合理的安全措施來保護(hù)客戶數(shù)據(jù)：

第一，2018年網(wǎng)絡(luò)攻擊事件之前，Zoetop使用當(dāng)時已知不足以抵御攻擊的算法對客戶密碼進(jìn)行保護(hù)；

第二，Zoetop錯誤地配置了其系統(tǒng)，將某些交易的信用卡信息以純文本形式存儲在調(diào)試日志文件中，這種做法安全性較低，黑客更容易訪問。在違規(guī)發(fā)生時，Zoetop未能執(zhí)行掃描以確定其系統(tǒng)上持卡人數(shù)據(jù)的存儲位置。 

第三，Zoetop沒有定期進(jìn)行外部漏洞掃描，也沒有定期監(jiān)控或?qū)彶閷徲嬋罩疽宰R別安全事件。

（圖源紐約州總檢察長辦公室官網(wǎng)）

第四，在2018年數(shù)據(jù)泄露之后，Zoetop未能及時采取行動保護(hù)許多受影響的客戶。該公司并未制定全面的計劃來應(yīng)對網(wǎng)絡(luò)攻擊。

根據(jù)協(xié)議，Zoetop必須向紐約支付1,900,000美元的罰款和費用。此外，Zoetop必須維護(hù)一個全面的信息安全計劃，其中包括客戶密碼的強大散列、可疑活動的網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)漏洞掃描以及需要及時調(diào)查、及時通知消費者和提示密碼重置的事件響應(yīng)策略。 

值得一提的是，目前Shein估值已達(dá)1000億美元。Shein曾尋求今年在美國進(jìn)行IPO，而現(xiàn)在該公司尋求在2024年在美國進(jìn)行首次公開募股。