近日，美國聯(lián)邦貿(mào)易委員會(The Federal Trade Commission，下稱FTC)宣布，針對此前定制商品零售商CafePress泄露超2300萬用戶個人信息一事做出最終決定，要求該公司向受數(shù)據(jù)泄露影響的受害者賠償共50萬美元。同時，全面加強數(shù)據(jù)安全保障，實行多重身份認證機制，將收集和存儲的用戶信息數(shù)量降至最低。

公開資料顯示，CafePress是美國一家知名定制商品零售公司，截至2011年3月，CafePress擁有超過1300萬會員，其網(wǎng)站上有超過3.25億種產(chǎn)品。2020年9月，該公司被PlanetArt收購。

據(jù)報道，2019年2月，CafePress的服務器遭遇黑客入侵，隨后超過2300萬CafePress用戶的個人信息在網(wǎng)絡犯罪論壇上被發(fā)布和出售。其中包括數(shù)百萬用戶姓名、地址、密保問題和答案以及加密程度較弱的用戶電子郵件地址和密碼，超過18萬個未加密的身份證號碼，還有大量的用戶支付卡賬號信息。

FTC就此對CafePress提起訴訟。訴狀顯示，CafePress一直拖延到2019年9月才披露上述數(shù)據(jù)泄露事件。在此期間，CafePress收到了來自多方的安全警告，但其向用戶隱瞞了這一事實，只是以密碼政策更新為由告知用戶需重置密碼。盡管CafePress在數(shù)據(jù)泄露發(fā)生后對黑客入侵的漏洞進行了修補，但并未對此事件展開全面調(diào)查，并依然允許用戶使用已經(jīng)被黑客獲取的信息登錄其賬戶。

不僅如此，F(xiàn)TC還針對CafePress的安全保障措施提出質(zhì)疑，認為CafePress以明文形式存儲用戶的身份證號和密保問題及答案的做法欠妥;同時，其存儲用戶個人信息的時間超過了必要時限。此外，CafePress還曾欺騙用戶，在向用戶承諾只會將其收集的信息用于履行訂單的情況下，利用用戶郵箱地址進行營銷。

FTC認定，CafePress在2019年數(shù)據(jù)泄露事件發(fā)生之前就知道其數(shù)據(jù)安全方面存在問題。2018年1月，當CafePress得知某些用戶賬戶遭受黑客攻擊時，其關閉了這些賬戶，并向受害者收取了25美元的賬戶關閉費。在2019年的嚴重數(shù)據(jù)泄露發(fā)生之前，CafePress已多次被惡意軟件入侵，但其并未調(diào)查此類攻擊的來源。

“CafePress采用了簡陋的安全措施，并向消費者隱瞞了多個漏洞。”FTC消費者保護局局長塞繆爾·萊文(Samuel Levine)曾表示，“應對CafePress松懈的安全措施進行問責，并對受到影響的小企業(yè)進行賠償，通過采取多重身份認證等特定的安全措施來更好地保護個人信息。”

近日，F(xiàn)TC宣布了針對CafePress數(shù)據(jù)泄露事件的最終決定。CafePress需向受數(shù)據(jù)泄露影響的受害者賠償共50萬美元，及時通知遭受數(shù)據(jù)泄露的受害者，并告知他們該如何保護自己的個人信息。

此外，CafePress及其實際控制者被還要求必須采取全面的數(shù)據(jù)安全保障措施，包括施行多重身份驗證機制，最大限度地減少收集和存儲用戶個人信息的數(shù)量;對用戶的身份證號碼進行加密，以及讓第三方對其數(shù)據(jù)安全保障機制進行評估，并向FTC提供一份適合公開披露的評估報告。

關鍵詞： CafePress泄露2300萬用戶信息被罰50萬美元 數(shù)據(jù)泄漏事件 用戶個人信息保護 數(shù)據(jù)安全保障措施