FTC Denda CafePress Rp7 Miliar karena Pelanggaran Data

Cyberthreat.id - Komisi Perdagangan Federal Amerika Serikat (FTC) mewajibkan platform perdagangan marchandise,  CafePress, untuk membayar korban pelanggaran data tahun 2019 sebesar US$500.000 sebagai ganti rugi.

Regulator menuduh perusahaan tidak cukup mengamankan data pengguna dan mengabaikan ancaman keamanan yang diketahui, kegagalan yang menyebabkan pelanggaran pada Februari 2019 di mana seorang peretas mengakses jutaan alamat email dan kata sandi.

Peretas menggunakan kredensial yang dicuri untuk menemukan 180.000 nomor Jaminan Sosial yang tidak terenkripsi. Beberapa informasi kemudian ditemukan di web gelap.

Menurut pengaduan, perusahaan diam-diam menambal kerentanan tetapi tidak memberi tahu pelanggan sampai sebulan setelah pelanggaran dilaporkan kepada publik pada Agustus 2019. Perusahaan terus mengizinkan konsumen menggunakan informasi yang diretas untuk masuk ke akun pengguna.

Pelanggaran 2019 bukanlah insiden keamanan siber pertama yang disembunyikan perusahaan dari pelanggan, menurut dugaan FTC. Pada Januari 2018, CafePress menagih pemilik toko yang akunnya ditentukan oleh perusahaan untuk dikompromikan $25 untuk menutup akun mereka.

“Perusahaan juga mengalami beberapa infeksi malware ke jaringannya sebelum peretasan 2019 tetapi gagal menyelidiki sumber serangan tersebut,” menurut pengaduan tersebut.

“CafePress menerapkan praktik keamanan yang ceroboh dan menyembunyikan banyak pelanggaran dari konsumen,” kata Samuel Levine, direktur Biro Perlindungan Konsumen FTC, dalam rilis hari Selasa yang mengumumkan denda, seperti dilansir Cyberscoop.

“Perintah ini meningkatkan akuntabilitas untuk praktik keamanan yang lemah, yang membutuhkan ganti rugi untuk usaha kecil yang dirugikan, dan kontrol khusus, seperti otentikasi multi-faktor, untuk melindungi informasi pribadi dengan lebih baik.”

Persyaratan penyelesaian termasuk bahwa perusahaan mengganti langkah-langkah otentikasi yang tidak memadai seperti pertanyaan keamanan dengan otentikasi multi-faktor.

Keluhan tersebut juga menuduh CafePress “menyesatkan pengguna dengan menggunakan alamat email konsumen untuk pemasaran meskipun dijanjikan bahwa informasi tersebut hanya akan digunakan untuk memenuhi pesanan yang telah dilakukan konsumen.”

Tujuh jaksa agung negara bagian yang dipimpin oleh New York mencapai kesepakatan US$ 2 juta dengan CafePress pada tahun 2020 atas pelanggaran 2018. Perjanjian tersebut termasuk kepatuhan sukarela dengan langkah-langkah keamanan baru.

CafePress tidak segera menanggapi permintaan komentar.[]