Στον προηγούμενο ιδιοκτήτη του CafePress έχει επιβληθεί πρόστιμο 500.000 δολαρίων για μια σειρά από αστοχίες ασφάλειας και παραβιάσεις δεδομένων.
Δείτε επίσης: Η SolarWinds προειδοποιεί για επιθέσεις που στοχεύουν instances Web Help Desk
Το CafePress είναι μια αμερικανική πλατφόρμα που προσφέρει προϊόντα εκτύπωσης κατά παραγγελία, όπως ρούχα, διακόσμηση σπιτιού και μαγειρικά σκεύη. Οι πωλητές μπορούν να εγγραφούν στην πλατφόρμα, να ανεβάσουν τα σχέδιά τους και το CafePress παίρνει ένα μερίδιο από τις πωλήσεις που πραγματοποιήθηκαν.
Αυτές οι επιχειρήσεις απαιτούν βασικές οικονομικές πληροφορίες από τους πωλητές και τους αγοραστές για να λειτουργήσουν, και ως εκ τούτου, αναμένεται να διαχειρίζονται με ασφάλεια αυτές τις πληροφορίες και να χειρίζονται τις συναλλαγές έχοντας κατά νου την ασφάλεια.
Ωστόσο, το CafePress έγινε αντικείμενο έρευνας της Ομοσπονδιακής Επιτροπής Εμπορίου των ΗΠΑ (FTC) σχετικά με τον τρόπο με τον οποίο χειρίστηκε την ασφάλεια — και πώς η εταιρεία φέρεται ότι “απέτυχε να διασφαλίσει τα ευαίσθητα προσωπικά δεδομένα των καταναλωτών και απέκρυψε μια σημαντική παραβίαση”.
Δείτε επίσης: CISA: Ενημερώνει για άλλες 15 ευπάθειες που είναι γνωστό ότι χρησιμοποιούνται σε επιθέσεις
Στις 15 Μαρτίου, η ρυθμιστική αρχή των ΗΠΑ είπε ότι η εταιρεία Residual Pumpkin πρέπει να πληρώσει 500.000 δολάρια ως αποζημίωση. Σύμφωνα με την καταγγελία της FTC (.PDF), που εκδόθηκε κατά του πρώην ιδιοκτήτη της πλατφόρμας Residual Pumpkin Entity, LLC, και του σημερινού ιδιοκτήτη της PlanetArt, LLC, υπήρχε έλλειψη “εύλογων μέτρων ασφαλείας” για την αποφυγή παραβιάσεων δεδομένων.
Επιπλέον, η FTC ισχυρίζεται ότι το CafePress διατήρησε δεδομένα χρήστη για περισσότερο από όσο χρειαζόταν, αποθήκευσε προσωπικά αναγνωρίσιμες πληροφορίες (PII), συμπεριλαμβανομένων αριθμών κοινωνικής ασφάλισης και απαντήσεις επαναφοράς κωδικού πρόσβασης σε καθαρό κείμενο, και δεν έκανε update για γνωστά τρωτά σημεία του συστήματος.
«Ως αποτέλεσμα των κακών πρακτικών ασφαλείας του, το δίκτυο του CafePress παραβιάστηκε πολλές φορές», λέει η FTC.
Το CafePress αντιμετώπισε ένα σημαντικό περιστατικό ασφαλείας το 2019. Ένας εισβολέας διείσδυσε στην πλατφόρμα τον Φεβρουάριο του 2019 και μπόρεσε να αποκτήσει πρόσβαση σε δεδομένα που ανήκαν σε εκατομμύρια χρήστες.
Αυτό περιελάμβανε διευθύνσεις ηλεκτρονικού ταχυδρομείου, κακώς κρυπτογραφημένους κωδικούς πρόσβασης, ονόματα, διευθύνσεις, ερωτήσεις και απαντήσεις ασφαλείας, αριθμούς τηλεφώνου και τουλάχιστον 180.000 μη κρυπτογραφημένους αριθμούς κοινωνικής ασφάλισης.
Τα σύνολα δεδομένων, μερικά από τα οποία στη συνέχεια πωλήθηκαν στο διαδίκτυο, προστέθηκαν στη μηχανή αναζήτησης HaveiBeenPwned τον Αύγουστο του 2019.
Σύμφωνα με την FTC, το CafePress ειδοποιήθηκε ένα μήνα μετά την παραβίαση και διόρθωσε το ελάττωμα ασφαλείας — αλλά δεν ερεύνησε την παραβίαση «για αρκετούς μήνες».
Επίσης, οι πελάτες δεν ενημερώθηκαν. Αντίθετα, το CafePress εφάρμοσε μια αναγκαστική επαναφορά κωδικού πρόσβασης ως μέρος της «πολιτικής» του και ενημέρωσε τους χρήστες τον Σεπτέμβριο του 2019, αφού είχε αναφερθεί δημόσια η παραβίαση δεδομένων.
Σε μια ξεχωριστή υπόθεση το 2018, το CafePress φέρεται να ενημερώθηκε για παραβιάσεις καταστημάτων. Αυτοί οι λογαριασμοί έκλεισαν — και οι καταστηματάρχες, τα θύματα, χρεώθηκαν τέλη κλεισίματος λογαριασμού 25 $.
Δείτε επίσης: Διακομιστές MySQL χτυπήθηκαν από κακόβουλο λογισμικό Gh0stCringe
Η FTC ισχυρίζεται ότι η εταιρεία «παραπλάνησε» τους χρήστες χρησιμοποιώντας τα email των καταναλωτών για διαφημιστικούς σκοπούς, παρά τις υποσχέσεις για το αντίθετο.
Ενώ η Residual Pumpkin θα αναλάβει το κόστος του προστίμου, η PlanetArt υποχρεούται να ειδοποιεί τους καταναλωτές που επηρεάστηκαν από περιστατικά ασφαλείας του CafePress.
Επιπλέον, και οι δύο εταιρείες θα πρέπει να προσλάβουν τρίτους εμπειρογνώμονες για την εκτέλεση ελέγχων ασφαλείας και για να επιλύσουν τυχόν υπάρχοντα ζητήματα ασφαλείας.
Πηγή πληροφοριών: zdnet.com
