紐約州總檢長詹樂霞(Letitia James)12日宣布,對備受千禧一代及Z世代青睞的中國快時尚品牌Shein及Romwe香港母公司Zoetop處以190萬元的罰金。Zoetop被指未能妥善處理數據洩露事件,致使全球數千萬消費者的個人信息被洩露,並涉嫌向消費者謊報了洩露範圍。調查指,作為擁有並經營著快時尚品牌Shein和Romwe的企業,Zoetop在其數據洩露事件中,共導致3900萬Shein賬戶和700萬Romwe賬戶被盜,其中包括逾80萬紐約居民的賬戶。
據詹樂霞辦公室調查,該公司在數據洩露之前未能妥善保護消費者的信息,在洩露之後亦未能採取足夠的措施保護受影響的賬戶,並向消費者淡化了所遭遇的網絡攻擊的程度。因此根據12日所達成的認罪協議,Zoetop須向紐約州支付190萬元罰款,並加強其網絡安全措施,以保護消費者的信息。
詹樂霞表示,Shein和Romwe的數字安保措施薄弱,使得駭客很容易盜取用戶的個人數據。她強調,「未能保護消費者的個人數據並對此撒謊,這並不是一眾時尚」,敦促Zoetop加強網絡安保舉措,以保護消費者免受欺詐和身份盜竊。
Zoetop2018年首次遭網絡攻擊
根據詹樂霞辦公室的調查,Zoetop於2018年6月首次遭遇網絡攻擊,包括Shein消費者在內的Zoetop客戶被竊取了信用卡信息,以及包括姓名及電子郵件等在內的個人信息。Zoetop在當時未檢測到攻擊,當後來獲支付處理商通知時,相關信息已「表明,其系統已被滲透,銀行卡數據被盜」。
Zoetop在之後委託了一家網絡安全公司進行取證調查,證實駭客已攻入Zoetop內部網絡,獲取了Shein客戶的重要個人信息,包括姓名、電子郵件以及密碼。在全球範圍內共造成3900萬Shein賬戶被盜,其中包括37.5萬名紐約居民。但據詹樂霞辦公室調查,Zoetop只聯繫了「一小部分」被盜賬戶,且未進行包括重置密碼或其他方式保護受影響賬戶,「甚至未提醒這些用戶他們的賬戶信息已被盜。」
調查指,Zoetop在就數據洩露事件的公開聲明中,對洩露規模及範圍存在錯誤表述,比如將受影響人數「謊稱只有642萬人」,並「謊稱沒發現任何證據表明信用卡信息從其系統中被盜」。但在2年後,調查稱,Zoetop發現Romwe的賬戶信息可在暗網上尋得。隨後根據調查取證結果,Zoetop得出結論,Romwe的信息遭竊很可能發生在2018年,與Shein遭遇攻擊時間或相同。隨後採取行動重置了受影響賬戶的密碼,並通知了受影響的Romwe用戶。總體來說,Romwe遭竊賬戶超過700萬個,其中50萬屬於紐約居民。
調查也指,Zoetop在諸如密碼管理、保護敏感的客戶信息、定期進行監控,以及事件相應等多方面未能保持合理的安全舉措。
介於此,根據在12日所達成的協議,Zoetop須向紐約支付190萬元罰款及相關費用。此外,該企業還須維持一項全面的信息安全計劃,包括對客戶密碼予以健全的散列、對可疑活動進行網絡監控、進行網絡漏洞掃描,以及設定及時調查、及時通知消費者並及時重置密碼的事件響應政策。本報記者孟莎紐約報道
