Ga naar de inhoud
28 juni 2022 • Nieuws

Online webshop CafePress betaalt 500.000 dollar voor datalek met data 23 miljoen gebruikers

Online webshop CafePress betaalt voor het verzwijgen van een groot datalek waarbij privégegevens van meer dan 23 miljoen gebruikers werden gestolen een bedrag van 500.000 dollar. Dat heeft de Amerikaanse toezichthouder FTC bepaald. Via CafePress worden allerlei voorbedrukte producten aangeboden zoals T-shirts en koffiemokken, maar kunnen klanten ook hun eigen ontwerpen maken, bestellen of aanbieden. De website claimt dat meer dan twee miljoen ontwerpers hun producten via CafePress aanbieden.

import243-Datalek_Illustratie_Sheila_Datalek_Illustratie20kopie

Volgens de FTC wist een aanvaller in februari 2019 misbruik te maken van een kwetsbaarheid en kon zo e-mailadressen, namen, telefoonnummers, wachtwoordhashes, securityvragen en antwoorden en adresgegevens van 23,2 miljoen accounts buitmaken, alsmede 180.000 onversleutelde social-securitynummers en tienduizenden gedeeltelijke creditcardnummers en verloopdata. Sommige van de informatie werd vervolgens op internet te koop aangeboden.

Een maand nadat CafePress was gewaarschuwd voor de kwetsbaarheid en dat aanvallers klantgegevens hadden buitgemaakt werd het beveiligingslek pas verholpen. Ondanks herhaaldelijke waarschuwingen, waaronder van een buitenlandse regering in april 2019, stelde CafePress pas maanden later een onderzoek in. Het niet nader genoemde land waarschuwde CafePress dat klantgegevens waren buitgemaakt en het bedrijf klanten zou moeten waarschuwen. CafePress besloot klanten alleen te vertellen dat ze hun wachtwoorden als onderdeel van nieuw wachtwoordbeleid moesten aanpassen.

Pas in september 2019, een maand nadat het datalek breed in de media was gekomen, kwam CafePress met een waarschuwing aan klanten. Volgens de FTC zorgden de lakse beveiligingsmaatregelen van CafePrss ervoor dat klanten nog steeds risico liepen. Zo konden mensen hun wachtwoord resetten door de securityvragen te beantwoorden die bij de aanval waren buitgemaakt.

De FTC stelt dat CafePress het datalek, veroorzaakt door het lakse beveiligingsbeleid, heeft verzwegen. In maart kondigde de toezichthouder al een schikking aan die nu definitief is geworden. CafePress gaat “inadequate authenticatiemaatregelen” vervangen voor multifactorauthenticatie, de hoeveelheid verzamelde en bewaarde data beperken, socialsecurity-nummers versleutelen en het securityprogramma laten auditen. Verder zal CafePress 500.000 dollar betalen dat wordt gebruik als schadevergoeding voor slachtoffers van het datalek en moet het slachtoffers over de datadiefstal informeren.

Bron: security.nl


Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.