Publicerad på: Oktober 18, 2022

Moderbolaget för dammodewebbplatsen Shein, Zoetop, bötfälldes med 1.9 miljoner dollar efter att ha anklagats för att ha ljugit om allvaret av dess dataintrång och meddelat "bara en bråkdel" av drabbade kunder.

Under 2018 föll Shein enligt uppgift offer för en cyberattack som avslöjade personliga detaljer om över sex miljoner kunder.

Shein sa då att namn, e-postadresser och "krypterade lösenordsuppgifter" för "ungefär 6.42 miljoner kunder" stals av hackare som hade planterat skadlig programvara på dess servrar.

En utredning av New York State Attorney General fann dock senare att Zoetop misslyckades med att ordentligt skydda data från Sheins kunder och systersajten Romwe före attacken, inte återställde lösenord eller skyddade några av sina kunders exponerade konton , och tonade ner omfattningen av attacken för användarna.

Efteråt fann man att personliga uppgifter om 39 miljoner Shein-användare exponerades över hela världen, istället för de 6.42 miljoner konton som initialt rapporterades av företaget.

Enligt utredare misslyckades Shein med att varna "den stora majoriteten av Shein-konton som påverkas" och lämnade 32.5 miljoner kunder i riskzonen.

Zoetops påstående att de "inte hade sett några bevis för att kreditkortsinformation togs från våra system" var också falskt. Företaget identifierade inte att det föll offer för ett dataintrång förrän det meddelades av en betalningsprocessor att det fanns indikationer på att Zoetops system hade infiltrerats och kortdata stulits.

Förra veckan, New York justitieminister Letitia James meddelade att Sheins moderbolag Zoetop bötfälldes med 1.9 miljoner dollar och krävdes att förbättra sin cybersäkerhet.

"Shein och Romwes svaga digitala säkerhetsåtgärder gjorde det enkelt för hackare att snatta konsumenters personuppgifter", säger justitieminister James i sitt uttalande. "Medan New York-bor letade efter de senaste trenderna om Shein och Romwe, stals deras personuppgifter och Zoetop försökte dölja det. Att misslyckas med att skydda konsumenternas personuppgifter och ljuga om det är inte trendigt. Shein och Romwe måste knappa upp sina cybersäkerhetsåtgärder för att skydda konsumenter från bedrägeri och identitetsstöld. Detta avtal bör skicka en tydlig varning till företag att de måste stärka sina digitala säkerhetsåtgärder och vara transparenta med konsumenterna, allt mindre kommer inte att tolereras.”

Zoetop beordrades också att underhålla ett omfattande informationssäkerhetsprogram som inkluderar starkare hash av kundlösenord, nätverksövervakning för misstänkt aktivitet, genomsökning av nätverkssårbarheter och incidentresponspolicyer som kräver snabb utredning, snabb kundmeddelande och snabb återställning av lösenord.