Tutupi Kebocoran Informasi Pelanggan Tahun 2019, CafePress Didenda

Internet Sehat : FTC AS menginginkan mantan pemilik CafePress mengeluarkan uang senilai 500.000 dollar AS setelah CafePress tidak hanya mencoba menutupi pelanggaran keamanan komputer besar yang melibatkan jutaan netizen, tetapi juga gagal melindungi informasi pribadi pelanggan.

Dalam pengaduan yang diajukan terhadap mantan pemilik CafePress, Residual Pumpkin Entity dan PlanetArt, yang membeli platform tersebut pada tahun 2020, FTC menuduh beberapa contoh praktik keamanan yang buruk di bisnis online. Dalam penyelesaian yang diusulkan oleh pengawas AS, Residual Pumpkin akan membayar setengah juta dolar AS.

Keluhan tersebut menyoroti bahwa pada Februari 2019, para penjahat mencuri, dan kemudian menjualnya di web gelap, harta karun berupa informasi pribadi yang mereka temukan dengan relatif mudah di sistem CafePress. Data ini termasuk lebih dari 20 juta alamat email tidak terenkripsi dan kata sandi terenkripsi, jutaan nama tidak terenkripsi, alamat fisik, serta pertanyaan dan jawaban keamanan, lebih dari 180.000 nomor Jaminan Sosial yang tidak terenkripsi serta empat digit terakhir untuk puluhan ribu kartu kredit.

Sebulan kemudian, setelah diberi tahu tentang penyusupan dan bahwa kerentanan telah dieksploitasi, Residual Pumpkin memperbarui sistemnya, tetapi tidak memberi tahu pelanggan tentang pembobolan atau memberi tahu mereka bahwa data mereka telah dicuri. Sebaliknya, CafePress meminta mereka untuk mengubah kata sandi mereka sebagai bagian dari kebijakan yang diperbarui tentang kredensial masuk.

Sementara itu, postingan tentang data pelanggan yang dicuri dan desas-desus tentang pelanggaran privasi mulai muncul di Twitter, Reddit, dan Facebook saat pelanggan menerima pemberitahuan dari layanan pemantauan bahwa detail mereka secara tak terduga beredar. Menurut FTC, CafePress menerima beberapa peringatan, termasuk satu dari pemerintah asing, bahwa data pelanggannya telah dibobol, namun tetap diam.

Baru pada September 2019 Residual Pumpkin mengakui kepada lembaga pemerintah dan bahwa keamanannya telah dilanggar. Pada saat itu, mereka mengatakan kepada netizen dan lembaga penegak hukum bahwa pengaturan ulang kata sandi pada bulan April akan memblokir penggunaan tidak sah lebih lanjut, namun menurut FTC hal ini tidak benar.

Residual Pumpkin terus mengizinkan pengaturan ulang kata sandi dari situs web CafePress dengan menjawab pertanyaan keamanan yang terkait dengan alamat email pelanggan. Dengan kata lain, memungkinkan penjahat mengubah kata sandi orang menggunakan informasi yang dicuri dalam pelanggaran.

Menurut pengacara senior FTC Lesley Fair, CafePress juga gagal melindungi dari serangan injeksi SQL, tidak memerlukan kata sandi yang kuat yang ditetapkan oleh pengguna, tidak memiliki sistem deteksi intrusi jaringan yang layak, dan melakukan kesalahan lainnya.

Sumber : The Register

Share