Shein母公司因客户数据泄露被罚款190万美元

10月13日消息，Shein母公司Zoetop被纽约州罚款190万美元，罚款的原因是Zoetop未能保护好客户的数据，导致数千万客户的数据被泄露，并试图淡化数据泄露的影响。

此次罚款是纽约司法部长办公室对2018年的一次黑客攻击进行调查后作出的。2018年，Zoetop遭受网络攻击，攻击者窃取了某些Zoetop客户（包括SHEIN购物者）的信用卡信息和个人信息，包括姓名、电子邮件地址和散列帐户密码。

该数据泄露事件影响了3900万Shein和700万Romwe账户，包括属于纽约人的80多万个账户。

（图源纽约州总检察长办公室官网）

纽约总检察长办公室（OAG）调查发现，在Zoetop得知黑客攻击后，该公司只联系了部分受影响的客户，没有为任何账户重置密码，也没有提醒客户其登录凭据已被盗取。

在2018年数据泄露事件发生时，Zoetop未能在以下几个方面维持合理的安全措施来保护客户数据：

第一，2018年网络攻击事件之前，Zoetop使用当时已知不足以抵御攻击的算法对客户密码进行保护；

第二，Zoetop错误地配置了其系统，将某些交易的信用卡信息以纯文本形式存储在调试日志文件中，这种做法安全性较低，黑客更容易访问。在违规发生时，Zoetop未能执行扫描以确定其系统上持卡人数据的存储位置。 

第三，Zoetop没有定期进行外部漏洞扫描，也没有定期监控或审查审计日志以识别安全事件。

（图源纽约州总检察长办公室官网）

第四，在2018年数据泄露之后，Zoetop未能及时采取行动保护许多受影响的客户。该公司并未制定全面的计划来应对网络攻击。

根据协议，Zoetop必须向纽约支付1,900,000美元的罚款和费用。此外，Zoetop必须维护一个全面的信息安全计划，其中包括客户密码的强大散列、可疑活动的网络监控、网络漏洞扫描以及需要及时调查、及时通知消费者和提示密码重置的事件响应策略。 

值得一提的是，目前Shein估值已达1000亿美元。Shein曾寻求今年在美国进行IPO，而现在该公司寻求在2024年在美国进行首次公开募股。