Die US-amerikanische Federal Trade Commission hat einen Vergleich vorgeschlagen, der den ehemaligen Eigentümer des US-amerikanischen Einzelhändlers für maßgefertigte Kleidung und Waren, CafePress, mit einer Geldstrafe von 500.000 US-Dollar belegt, weil er versucht hat, eine Datenschutzverletzung im Jahr 2019 zu vertuschen, bei der sensible Daten von Millionen von Benutzern offengelegt wurden.
Hacker brachen im Februar 2019 in die Server von CafePress ein und veröffentlichten anschließend die persönlichen Daten von mehr als 23 Millionen Benutzern in bekannten Cybercrime-Foren. Dazu gehörten Millionen von E-Mail-Adressen und Passwörtern, unverschlüsselte Namen, physische Adressen, Sicherheitsfragen und -antworten sowie mehr als 180.000 unverschlüsselte Sozialversicherungsnummern.
In einer Beschwerde gegen den ehemaligen CafePress-Eigentümer Residual Pumpkin Entity und den derzeitigen Eigentümer PlanetArt, sagte die FTC Das Unternehmen gab die Datenschutzverletzung erst im September 2019 bekannt, einen Monat nachdem in den Medien umfassend darüber berichtet wurde. Während CafePress die von den Hackern genutzte Schwachstelle gepatcht hatte, hat das Unternehmen den Vorfall mehrere Monate lang nicht ordnungsgemäß untersucht, so die FTC, und den Verbrauchern weiterhin erlaubt, die beim Hack offengelegten Informationen zu verwenden, um sich bei ihren Konten anzumelden.
Die FTC-Beschwerde beanstandet auch die „schäbigen Sicherheitspraktiken“ der Organisationen, die das Speichern der Sozialversicherungsnummern der Kunden und Antworten zum Zurücksetzen von Passwörtern im Klartext und das länger als nötige Speichern von Benutzerdaten beinhalten.
CafePress war sich auch vor der Datenschutzverletzung 2019 bewusst, dass es Probleme mit der Datensicherheit gab. Laut der Beschwerde von FTC entdeckte das Unternehmen, dass die Konten einiger Ladenbesitzer bis mindestens Januar 2018 gehackt worden waren, ein Vorfall, der dazu führte, dass CafePress die kompromittierten Konten schloss und den Eigentümern eine Kontoschließungsgebühr von 25 US-Dollar in Rechnung stellte.
Das Netzwerk des Unternehmens wurde auch von mehreren Malware-Infektionen vor der Sicherheitsverletzung im Jahr 2019 heimgesucht, die das Unternehmen nicht ordnungsgemäß untersucht hatte, sagte die FTC, und es führte auch „Benutzer in die Irre, indem es E-Mail-Adressen für Marketingzwecke verwendete, obwohl es versprochen hatte, dass solche Informationen nur verwendet würden um Bestellungen von Verbrauchern zu erfüllen.“
„CafePress wendete nachlässige Sicherheitspraktiken an und verheimlichte Verbrauchern mehrere Sicherheitsverletzungen“, sagte Samuel Levine, Direktor des Verbraucherschutzbüros der FTC. „Diese Anordnungen fordern eine DFÜ-Verantwortung für laxe Sicherheitspraktiken, die Wiedergutmachung für geschädigte kleine Unternehmen und spezifische Kontrollen wie Multi-Faktor-Authentifizierung zum besseren Schutz personenbezogener Daten verlangt.“
Als Teil des Vergleichs müssen Residual Pumpkin und PlanetArt umfassende Informationssicherheitsprogramme einführen, die die Probleme angehen, die zu den Datenschutzverletzungen bei CafePress geführt haben. Dazu gehören der Ersatz unzureichender Authentifizierungsmaßnahmen wie Sicherheitsfragen durch Multi-Faktor-Authentifizierungsmethoden, die Minimierung der erfassten und gespeicherten Datenmenge und die Verschlüsselung von Sozialversicherungsnummern.
Sprecher von Residual Pumpkin und PlanetArt antworteten nicht auf Anfragen nach Kommentaren vor der Veröffentlichung.