10月13日消息，Shein母公司Zoetop被紐約州罰款190萬(wàn)美元，罰款的原因是Zoetop未能保護(hù)好客戶的數(shù)據(jù)，導(dǎo)致數(shù)千萬(wàn)客戶的數(shù)據(jù)被泄露，并試圖淡化數(shù)據(jù)泄露的影響。

此次罰款是紐約司法部長(zhǎng)辦公室對(duì)2018年的一次黑客攻擊進(jìn)行調(diào)查后作出的。2018年，Zoetop遭受網(wǎng)絡(luò)攻擊，攻擊者竊取了某些Zoetop客戶（包括SHEIN購(gòu)物者）的信用卡信息和個(gè)人信息，包括姓名、電子郵件地址和散列帳戶密碼。

該數(shù)據(jù)泄露事件影響了3900萬(wàn)Shein和700萬(wàn)Romwe賬戶，包括屬于紐約人的80多萬(wàn)個(gè)賬戶。

（圖源紐約州總檢察長(zhǎng)辦公室官網(wǎng)）

紐約總檢察長(zhǎng)辦公室（OAG）調(diào)查發(fā)現(xiàn)，在Zoetop得知黑客攻擊后，該公司只聯(lián)系了部分受影響的客戶，沒(méi)有為任何賬戶重置密碼，也沒(méi)有提醒客戶其登錄憑據(jù)已被盜取。

在2018年數(shù)據(jù)泄露事件發(fā)生時(shí)，Zoetop未能在以下幾個(gè)方面維持合理的安全措施來(lái)保護(hù)客戶數(shù)據(jù)：

第一，2018年網(wǎng)絡(luò)攻擊事件之前，Zoetop使用當(dāng)時(shí)已知不足以抵御攻擊的算法對(duì)客戶密碼進(jìn)行保護(hù)；

第二，Zoetop錯(cuò)誤地配置了其系統(tǒng)，將某些交易的信用卡信息以純文本形式存儲(chǔ)在調(diào)試日志文件中，這種做法安全性較低，黑客更容易訪問(wèn)。在違規(guī)發(fā)生時(shí)，Zoetop未能執(zhí)行掃描以確定其系統(tǒng)上持卡人數(shù)據(jù)的存儲(chǔ)位置。 

第三，Zoetop沒(méi)有定期進(jìn)行外部漏洞掃描，也沒(méi)有定期監(jiān)控或?qū)彶閷徲?jì)日志以識(shí)別安全事件。

（圖源紐約州總檢察長(zhǎng)辦公室官網(wǎng)）

第四，在2018年數(shù)據(jù)泄露之后，Zoetop未能及時(shí)采取行動(dòng)保護(hù)許多受影響的客戶。該公司并未制定全面的計(jì)劃來(lái)應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

根據(jù)協(xié)議，Zoetop必須向紐約支付1,900,000美元的罰款和費(fèi)用。此外，Zoetop必須維護(hù)一個(gè)全面的信息安全計(jì)劃，其中包括客戶密碼的強(qiáng)大散列、可疑活動(dòng)的網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)漏洞掃描以及需要及時(shí)調(diào)查、及時(shí)通知消費(fèi)者和提示密碼重置的事件響應(yīng)策略。 

值得一提的是，目前Shein估值已達(dá)1000億美元。Shein曾尋求今年在美國(guó)進(jìn)行IPO，而現(xiàn)在該公司尋求在2024年在美國(guó)進(jìn)行首次公開(kāi)募股。