近日，美國聯邦貿易委員會(The Federal Trade Commission，下稱FTC)宣布，針對此前定制商品零售商CafePress泄露超2300萬用戶個人信息一事做出最終決定，要求該公司向受數據泄露影響的受害者賠償共50萬美元。同時，全面加強數據安全保障，實行多重身份認證機制，將收集和存儲的用戶信息數量降至最低。

FTC官網

公開資料顯示，CafePress是美國一家知名定制商品零售公司，截至2011年3月，CafePress擁有超過1300萬會員，其網站上有超過3.25億種產品。2020年9月，該公司被PlanetArt收購。

據報道，2019年2月，CafePress的服務器遭遇黑客入侵，隨后超過2300萬CafePress用戶的個人信息在網絡犯罪論壇上被發布和出售。其中包括數百萬用戶姓名、地址、密保問題和答案以及加密程度較弱的用戶電子郵件地址和密碼，超過18萬個未加密的身份證號碼，還有大量的用戶支付卡賬號信息。

FTC就此對CafePress提起訴訟。訴狀顯示，CafePress一直拖延到2019年9月才披露上述數據泄露事件。在此期間，CafePress收到了來自多方的安全警告，但其向用戶隱瞞了這一事實，只是以密碼政策更新為由告知用戶需重置密碼。盡管CafePress在數據泄露發生后對黑客入侵的漏洞進行了修補，但并未對此事件展開全面調查，并依然允許用戶使用已經被黑客獲取的信息登錄其賬戶。

不僅如此，FTC還針對CafePress的安全保障措施提出質疑，認為CafePress以明文形式存儲用戶的身份證號和密保問題及答案的做法欠妥;同時，其存儲用戶個人信息的時間超過了必要時限。此外，CafePress還曾欺騙用戶，在向用戶承諾只會將其收集的信息用于履行訂單的情況下，利用用戶郵箱地址進行營銷。

FTC認定，CafePress在2019年數據泄露事件發生之前就知道其數據安全方面存在問題。2018年1月，當CafePress得知某些用戶賬戶遭受黑客攻擊時，其關閉了這些賬戶，并向受害者收取了25美元的賬戶關閉費。在2019年的嚴重數據泄露發生之前，CafePress已多次被惡意軟件入侵，但其并未調查此類攻擊的來源。

“CafePress采用了簡陋的安全措施，并向消費者隱瞞了多個漏洞。”FTC消費者保護局局長塞繆爾·萊文(Samuel Levine)曾表示，“應對CafePress松懈的安全措施進行問責，并對受到影響的小企業進行賠償，通過采取多重身份認證等特定的安全措施來更好地保護個人信息。”

近日，FTC宣布了針對CafePress數據泄露事件的最終決定。CafePress需向受數據泄露影響的受害者賠償共50萬美元，及時通知遭受數據泄露的受害者，并告知他們該如何保護自己的個人信息。

此外，CafePress及其實際控制者被還要求必須采取全面的數據安全保障措施，包括施行多重身份驗證機制，最大限度地減少收集和存儲用戶個人信息的數量;對用戶的身份證號碼進行加密，以及讓第三方對其數據安全保障機制進行評估，并向FTC提供一份適合公開披露的評估報告。

關鍵詞： 商品零售商CafePress 商品零售商CafePress泄露超2300萬用戶個人信息 用戶個人信息 泄露用戶個人信息 泄露信息