El estado de Nueva York multó a la empresa matriz de la popular marca de ropa Shein con 1,9 millones de dólares por no notificar a los 39 millones de usuarios sobre una filtración masiva de datos en 2018 que comprometió las credenciales de inicio de sesión, lo que permitió a los malhechores robar información de tarjetas de crédito.
El ciberataque a Shein, según la Oficina del Fiscal General (AGO), incluyó a más de 375.000 residentes de Nueva York, junto con 800.000 más de los siete millones de cuentas de Romwe que también fueron infiltradas.
Zoetop, con sede en China, declaró falsamente que solo 6,42 millones de consumidores se vieron afectados por la violación y no mantuvieron medidas de seguridad razonables para proteger los datos de los clientes, lo que llevó a Nueva York a buscar represalias, según AGO
Además de las declaraciones engañosas, Zoetop dijo que ‘ha[d] visto ninguna evidencia de que [customer] la información de la tarjeta de crédito fue extraída de nuestros sistemas’, pero dos años después, la empresa encontró la información de inicio de sesión del cliente para Romwe en la dark web.
La empresa matriz de Shein, Zoetop, pagará $ 1.9 millones al estado de Nueva York por no notificar a los 39 millones de usuarios sobre una violación de datos en 2018
La procuradora general Lelita James dijo en un declaración: ‘Las débiles medidas de seguridad digital de Shein y Romwe facilitaron que los piratas informáticos robaran los datos personales de los consumidores.
“Mientras los neoyorquinos compraban las últimas tendencias en Shein y Romwe, sus datos personales fueron robados y Zoetop trató de encubrirlo.
‘No proteger los datos personales de los consumidores y mentir al respecto no está de moda.
‘Shein y Romwe deben reforzar sus medidas de ciberseguridad para proteger a los consumidores del fraude y el robo de identidad.
«Este acuerdo debería enviar una clara advertencia a las empresas de que deben fortalecer sus medidas de seguridad digital y ser transparentes con los consumidores, no se tolerará nada menos».
En el ciberataque de 2018 también se eliminó información personal de las cuentas, incluidos nombres, direcciones de correo electrónico y contraseñas de cuentas cifradas de ciertos clientes de Zoetop.
El crimen digital pasó desapercibido para la empresa hasta que un procesador de pagos notificó que los sistemas de la empresa «parecían estar comprometidos», dice el anuncio de AGO.
En el ataque cibernético, los malos actores robaron tarjetas de crédito e información personal, incluidos nombres, direcciones de correo electrónico y contraseñas de cuentas cifradas de ciertos clientes de Zoetop.
Tras el ciberataque, Zoetop contrató a una empresa de ciberseguridad para realizar una investigación forense.
La firma de ciberseguridad confirmó que los atacantes habían obtenido acceso a la red interna de Zoetop y habían alterado el código responsable de procesar las transacciones de los clientes en un intento de interceptar y exfiltrar la información de la tarjeta de crédito del cliente.
«Como resultado del acuerdo de hoy, Zoetop debe pagar a Nueva York $1,900,000 en multas y costos», afirma el anuncio de AGO.
«Además, Zoetop debe mantener un programa integral de seguridad de la información que incluya un hashing robusto de las contraseñas de los clientes, monitoreo de la red para detectar actividades sospechosas, análisis de vulnerabilidades de la red y políticas de respuesta a incidentes que requieran una investigación oportuna, notificación oportuna al consumidor y restablecimiento rápido de contraseñas».
Shein, que se reveló en agosto con una valoración de $ 100 mil millones, fue fundada en 2008 y recientemente nombró al minorista de moda más grande del mundo.
En los últimos años, Shein se ha encontrado en medio de varias controversias, incluidas disputas de marcas registradas, evasión de impuestos, violaciones de derechos humanos y problemas de salud y seguridad.
También ha habido preocupaciones sobre las siniestras tácticas de vigilancia empleadas por Shein para adelantarse a sus rivales.
Los expertos de la industria dicen que la empresa en la sombra está espiando a los clientes desprevenidos mediante el uso de sitios y aplicaciones de redes sociales, recopilando grandes cantidades de datos sobre lo que sus clientes ven y les gusta, y luego instruye a sus fábricas para que produzcan copias a un costo menor que sus competidores.
