حق فراموش شدن

کمیسیون FTC به پلتفرم تجارت الکترونیکی دستور می‌دهد تا امنیت داده‌ها را تقویت کند و به مشاغل کوچک رسیدگی کند.

 

داستان ورود کمیسیون FTC به پلتفرم تجارت الکترونیکی چیست؟

کمیسیون تجارت فدرال امروز علیه پلتفرم کالای سفارشی شده آنلاین CafePress به دلیل این اتهامات مبنی بر اینکه این پلتفرم در ایمن سازی اطلاعات‌شخصی حساس مصرف کنندگان شکست خورده و یک نقض بزرگ را پوشانده است، اقدام کرد. FTC ادعا می‌کند که CafePress در اجرای اقدامات امنیتی معقول برای محافظت از اطلاعات حساس ذخیره شده در شبکه خود، از جمله شماره‌های تامین اجتماعی متن ساده، رمزهای‌عبور نامناسب رمزگذاری شده و پاسخ به سوالات بازنشانی رمزعبور، شکست خورده است. دستور پیشنهادی کمیسیون، شرکت را ملزم می‌کند تا امنیت داده‌های خود را تقویت کند و مالک سابق آن را ملزم می‌کند که نیم میلیون دلار برای جبران خسارت به مشاغل کوچک بپردازد.

 

تخلف CafePress چه بود؟

ساموئل لوین، مدیر دفتر حمایت از مصرف کننده FTC، گفت: «کافه پرس از شیوه‌های امنیتی بی دقتی استفاده می‌کرد و نقض‌های متعدد را از مشتریان پنهان می‌کرد. «این دستورات مسئولیت پذیری را در قبال شیوه‌های امنیتی سست، مستلزم جبران خسارت برای کسب‌وکارهای کوچکی که آسیب دیده‌اند، و کنترل‌های خاصی مانند احراز‌هویت چندعاملی، برای محافظت بهتر از اطلاعات‌شخصی را افزایش می‌دهد.»

در شکایتی علیه Residual Pumpkin Entity، LLC، مالک سابق CafePress، و PlanetArt، LLC، که CafePress را در سال 2020 خرید، FTC ادعا کرد که CafePress در اجرای اقدامات امنیتی معقول برای محافظت از اطلاعات حساس خریداران و فروشندگان ذخیره شده در شبکه آن CafePress علاوه بر ذخیره شماره‌های تامین اجتماعی و پاسخ‌های بازنشانی رمزعبور به صورت متنی واضح و خوانا، داده‌ها را بیش از زمان لازم حفظ کرد. در این شکایت ادعا شده است که این شرکت همچنین در اعمال حفاظت‌های موجود در برابر تهدیدات شناخته شده و پاسخ مناسب به حوادث امنیتی شکست خورده است. در نتیجه اقدامات امنیتی نامناسب، شبکه کافه پرس چندین بار مورد نفوذ قرار گرفت.

بر اساس این شکایت، یک هکر در فوریه 2019 از نقص‌های امنیتی شرکت برای دسترسی به میلیون‌ها آدرس ایمیل و رمزعبور با رمزگذاری ضعیف سوء استفاده کرد. میلیون‌ها نام رمزگذاری نشده، آدرس‌های فیزیکی، و پرسش‌ها و پاسخ‌های امنیتی؛ بیش از 180000 شماره غیر رمزگذاری شده تامین اجتماعی؛ و ده‌ها هزار شماره‌کارت پرداخت جزئی و تاریخ انقضا. برخی از اطلاعات بعداً برای فروش در دارک وب پیدا شد.

 

جدال نابرابر CafePress و هکرها

پس از اینکه یک ماه بعد از اینکه کافه پرس یک آسیب‌پذیری امنیتی دارد و هکرها اطلاعات مصرف کننده را به دست آورده‌اند، مطلع شد، کافه‌پرس این آسیب‌پذیری را اصلاح کرد اما علی‌رغم هشدارهای اضافی برای چندین ماه نتوانست به درستی این آسیب پذیری را بررسی کند. این شامل اخطاری در آوریل 2019 از سوی یک دولت خارجی بود که به شرکت اطلاع داد که یک هکر به طور غیرقانونی اطلاعات حساب مشتری CafePress را به دست آورده است و از شرکت خواست تا به مشتریان آسیب دیده اطلاع دهد. با این حال، این شرکت این اطلاعات ضروری را پنهان کرد و در عوض به مشتریان گفت که رمزعبور خود را به عنوان بخشی از به روزرسانی خط مشی رمزعبور خود بازنشانی کنند.

در این شکایت آمده است که CafePress تا سپتامبر 2019 - یک ماه پس از گزارش گسترده نقض، به مشتریان آسیب دیده اطلاع نداده است. با این حال، اقدامات امنیتی ضعیف این شرکت هنوز هم بسیاری از مصرف کنندگان را در معرض خطر قرار داده است. به عنوان مثال، این شرکت همچنان به افراد اجازه می‌دهد تا رمزهای‌عبور خود را در وب‌سایت با پاسخ دادن به سؤالات امنیتی مرتبط با آدرس‌های ایمیل مشتریان بازنشانی کنند - همان اطلاعاتی که قبلاً توسط هکرها به سرقت رفته بود.

طبق این شکایت، CafePress قبل از نقض اطلاعات در سال 2019 از مشکلات مربوط به امنیت داده‌های خود آگاه بود. حداقل تا ژانویه 2018، زمانی که کافه‌پرس تشخیص داد که حساب‌های خاصی از مغازه داران هک شده است، کافه‌پرس حساب‌ها را بست و 25 دلار هزینه بسته شدن حساب از قربانیان دریافت کرد. این شرکت همچنین قبل از هک سال 2019 چندین آلوده به بدافزار را در شبکه خود تجربه کرد اما نتوانست منبع چنین حملاتی را بررسی کند.

علاوه بر نارسایی‌های امنیتی، FTC ادعا کرد که این شرکت با استفاده از آدرس‌های ایمیل مصرف کننده برای بازاریابی، علی رغم وعده‌هایش مبنی بر اینکه از این اطلاعات فقط برای انجام سفارش‌هایی که مصرف کنندگان گذاشته اند استفاده می‌شود، کاربران را گمراه کرده است.

 

برنامه FTC برای افزایش امنیت کسب‌و‌کارهای الکترونیکی

به عنوان بخشی از حل و فصل پیشنهادی، Residual Pumpkin و PlanetArt ملزم به اجرای برنامه های جامع امنیت اطلاعات هستند که به مشکلاتی که منجر به نقض داده‌ها در CafePress شده‌اند، رسیدگی می‌کنند. این شامل جایگزینی اقدامات احراز‌هویت ناکافی مانند سؤالات امنیتی با روش‌های تأیید اعتبار چند عاملی است. به حداقل رساندن حجم داده‌هایی که جمع‌آوری و نگهداری می‌کنند. و رمزگذاری شماره‌های تامین اجتماعی.

علاوه بر این، حل‌و‌فصل پیشنهادی مستلزم آن است که Residual Pumpkin 500000 دلار به عنوان جبران خسارت به قربانیان نقض داده‌ها بپردازد. PlanetArt باید به مشتریانی که به اطلاعات‌شخصی آن‌ها در نتیجه نقض داده‌های CafePress دسترسی پیدا کرده است اطلاع دهد و اطلاعات خاصی در مورد نحوه محافظت مصرف‌کنندگان از خود ارائه دهد. هر دو شرکت ملزم خواهند بود که از شخص ثالثی بخواهند برنامه‌های امنیت اطلاعات خود را ارزیابی کند و یک نسخه ویرایش شده از آن ارزیابی مناسب برای افشای عمومی را به کمیسیون ارائه دهند.

FTC به زودی شرحی از بسته توافقنامه رضایت را در ثبت فدرال منتشر خواهد کرد. این توافقنامه به مدت 30 روز پس از انتشار در ثبت فدرال مشمول اظهار نظر عمومی خواهد بود و پس از آن کمیسیون تصمیم خواهد گرفت که آیا دستور رضایت پیشنهادی را نهایی کند یا خیر. دستورالعمل ثبت نظرات در اطلاعیه منتشر شده درج خواهد شد. پس از پردازش، نظرات در Regulations.gov ارسال می‌شود.

کمیسیون زمانی شکایت اداری صادر می‌کند که «دلیلی برای باور» داشته باشد که قانون نقض شده یا در حال نقض است و به نظر کمیسیون که رسیدگی به نفع عمومی است. هنگامی که کمیسیون یک دستور رضایت را بر اساس نهایی صادر می‌کند، در رابطه با اقدامات آتی از قوت قانون برخوردار است. هر تخلف از چنین دستوری ممکن است منجر به جریمه مدنی تا 46517 دلار شود.