Gepubliceerd op: 18 oktober 2022

Het moederbedrijf van de damesmodewebsite Shein, Zoetop, kreeg een boete van $ 1.9 miljoen nadat het beschuldigd werd van liegen over de ernst van het datalek en het informeren van "slechts een fractie" van de getroffen klanten.

In 2018 werd Shein naar verluidt het slachtoffer van een cyberaanval waarbij de persoonlijke gegevens van meer dan zes miljoen klanten werden blootgelegd.

Shein zei destijds dat de namen, e-mailadressen en "gecodeerde wachtwoordgegevens" van "ongeveer 6.42 miljoen klanten" waren gestolen door hackers die malware op zijn servers hadden geplaatst.

Uit een onderzoek door het kantoor van de procureur-generaal van de staat New York bleek later echter dat Zoetop de gegevens van klanten van Shein en zustersite Romwe vóór de aanval niet goed had beschermd, wachtwoorden opnieuw had ingesteld of de blootgestelde accounts van haar klanten had beschermd , en bagatelliseerde de omvang van de aanval voor gebruikers.

Naderhand bleek dat de persoonlijke gegevens van 39 miljoen Shein-gebruikers wereldwijd bekend waren gemaakt, in plaats van de 6.42 miljoen accounts die aanvankelijk door het bedrijf waren gemeld.

Volgens onderzoekers heeft Shein de "overgrote meerderheid van de getroffen Shein-accounts" niet gewaarschuwd en 32.5 miljoen klanten in gevaar gebracht.

De bewering van Zoetop dat het "geen bewijs had gezien dat creditcardgegevens uit onze systemen waren gehaald" was ook onjuist. Het bedrijf identificeerde niet dat het slachtoffer was geworden van een datalek totdat het door een betalingsverwerker werd geïnformeerd dat er aanwijzingen waren dat de systemen van Zoetop waren geïnfiltreerd en kaartgegevens waren gestolen.

Vorige week, New York procureur-generaal Letitia James aangekondigd dat Shein's moederbedrijf Zoetop een boete van $ 1.9 miljoen kreeg en zijn cyberbeveiliging moest verbeteren.

"De zwakke digitale beveiligingsmaatregelen van Shein en Romwe maakten het voor hackers gemakkelijk om persoonlijke gegevens van consumenten te stelen", zei procureur-generaal James in haar verklaring. “Terwijl New Yorkers aan het shoppen waren voor de laatste trends op Shein en Romwe, werden hun persoonlijke gegevens gestolen en Zoetop probeerde het te verdoezelen. Het niet beschermen van de persoonlijke gegevens van consumenten en erover liegen is niet trendy. Shein en Romwe moeten hun cyberbeveiligingsmaatregelen aanscherpen om consumenten te beschermen tegen fraude en identiteitsdiefstal. Deze overeenkomst moet een duidelijke waarschuwing zijn voor bedrijven dat ze hun digitale beveiligingsmaatregelen moeten versterken en transparant moeten zijn met consumenten, minder wordt niet getolereerd.”

Zoetop kreeg ook de opdracht om een ​​uitgebreid programma voor informatiebeveiliging in stand te houden dat een sterkere hashing van klantwachtwoorden, netwerkmonitoring voor verdachte activiteiten, scannen van netwerkkwetsbaarheden en een beleid voor incidentrespons vereist dat tijdig onderzoek, tijdige kennisgeving aan de klant en prompte wachtwoordresets vereist.