CafePress数据泄露影响2300万人，被罚款50万美元

在线商品网站CafePress2019年的数据泄露事件影响了2300 万名客户，近期，美国一家主要监管机构对CafePress进行处罚，罚款金额高达50万美元。

事件详情

消费者权益机构FTC辩称，在线商品网站CafePress没有实施合理的安全防范措施来保护买卖双方的信息，并且还试图掩盖违规行为。

针对于 2020 年收购了 CafePress 的前所有者 Residual Pumpkin Entity 和现任所有者 PlanetArt，FTC 投诉称存在几个关键的安全漏洞。FTC声称，社会安全号码和密码重置答案以纯文本形式存储，数据保留的事件超过了必要的事件，并且没有部署预防性和充分的检测和响应技术。

为了补偿违规行为的受害者，Residual Pumpkin实体需支付50万美元的罚款。同时，PlanetArt被命令通知所有违规行为受害者，并提供有关消费者如何保护自己的信息。

 Residual Pumpkin Entity 和 PlanetArt这两家公司被要求实施全面的信息安全计划：

1、尽量减少收集和保留的数据量

2、推出多因素身份验证；

3、加密社会安全号码；

4、与 FTC 分享第三方对其新信息安全计划的评估。

关于CafePress

CafePress是最老牌的定制服务网站，于1999年在美国的加州最早成立公司，现在发展的用户拥有超过200万，主要分布在美国。在CafePress，用户可以直接选购由其它用户设计并授权出售的千千万万个性产品；也可以利用CafePress强大的辅助设计工具自己设计订购个性产品；同时在CafePress，用户甚至可以不花一分钱创立属于自己的品牌，在CafePress上建立专卖店出售自己设计。

2019 年 8 月首次公开这起泄露事件，过了一个月 CafePress 才开始通知受影响的客户。

据违规通知网站HaveIBeenPwned的数据，违法分子窃取了2300万个以SHA-1哈希值存储的唯一电子邮件地址、物理地址、姓名、密码和电话号码。

该事件发生后，CafePress强迫用户重置密码，并告知用户这是密码策略的更新，但不承认是入侵，否认存在安全漏洞。FTC 的命令以 5 票对 0 票获得一致通过，最终CafePress被罚款50万美元。