Shein与Remwe的所有者Zoetop在2018年的数据泄露事件中,遭黑客攻击,4600万用户的账户数据被盗,其中包括80万纽约居民,目前该公司正以190万美元的赔偿达成和解。据报道,该公司还试图淡化攻击的规模,并没有采取足够的网络安全措施。
纽约州的一项调查显示,每当交易失败时,Zoetop都会将用户的信用卡信息存储在一个明文调试日志中。当该公司在2018年6月遭到黑客攻击时,攻击者发现了近3万份订单的完整信用卡详细信息。此外,攻击者还窃取了客户数据,包括姓名、城市、电子邮件地址和哈希密码。这些凭证后来会在暗网上出售。
更糟糕的是,Zoetop用于哈希密码的加密方法很容易受到密码破解攻击,从而泄露被盗账户的实际密码。
大约一个月后的2018年6月,Zoetop最终被其支付处理合作方告知了此事。一家主要的信用卡网络公司和一家银行联系了支付处理合作方,称客户的财务数据从该公司的系统中被提取了出来。
尽管纽约的调查表明,Zoetop完全清楚至少Shein的数据丢失的规模。Zoetop自己聘请了一家网络安全公司评估损失,确认了3900万Shein客户的数据被盗。另外700万rowe用户的账户信息也被窃取,这一事实于2020年曝光。
在攻击发生后,该公司声称只有642万在攻击窗口下单的客户受到了影响,严重淡化了事件的规模。该公司也没有强迫用户重置密码,甚至没有通知所有受影响的用户。
整个事件以Zoetop不得不支付190万美元来解决对他们的诉讼而告终,考虑到Shein和Romwe目前享受的评价,这对巨头来说只是九牛一毛。该公司还同意改进其安全实践,包括更好的密码哈希、网络监控和漏洞扫描,以及适当的事件响应协议。