De Amerikaanse toezichthouder FTC onderneemt actie tegen online webshop CafePress voor het verzwijgen van een groot datalek waarbij privégegevens van meer dan 23 miljoen gebruikers werden gestolen. Via CafePress worden allerlei voorbedrukte producten aangeboden zoals T-shirts en koffiemokken, maar kunnen klanten ook hun eigen ontwerpen maken, bestellen of aanbieden. De website claimt dat meer dan twee miljoen ontwerpers hun producten via CafePress aanbieden.

Volgens de FTC wist een aanvaller in februari 2019 misbruik te maken van een kwetsbaarheid en kon zo e-mailadressen, namen, telefoonnummers, wachtwoordhashes, securityvragen en antwoorden en adresgegevens van 23,2 miljoen accounts buitmaken, alsmede 180.000 onversleutelde social-securitynummers en tienduizenden gedeeltelijke creditcardnummers en verloopdata. Sommige van de informatie werd vervolgens op internet te koop aangeboden.

Een maand nadat CafePress was gewaarschuwd voor de kwetsbaarheid en dat aanvallers klantgegevens hadden buitgemaakt werd het beveiligingslek pas verholpen. Ondanks herhaaldelijke waarschuwingen, waaronder van een buitenlandse regering in april 2019, stelde CafePress pas maanden later een onderzoek in. Het niet nader genoemde land waarschuwde CafePress dat klantgegevens waren buitgemaakt en het bedrijf klanten zou moeten waarschuwen. CafePress besloot klanten alleen te vertellen dat ze hun wachtwoorden als onderdeel van nieuw wachtwoordbeleid moesten aanpassen.

Pas in september 2019, een maand nadat het datalek breed in de media was gekomen, kwam CafePress met een waarschuwing aan klanten. Volgens de FTC zorgden de lakse beveiligingsmaatregelen van CafePrss ervoor dat klanten nog steeds risico liepen. Zo konden mensen hun wachtwoord resetten door de securityvragen te beantwoorden die bij de aanval waren buitgemaakt.

De Amerikaanse toezichthouder stelt dat CafePress al voor het datalek van de problemen afwist. Sinds januari 2018 werden accounts van verschillende winkels gecompromitteerd. CafePress sloot deze accounts en bracht de slachtoffers 25 dollar in rekening voor het sluiten. Verder kreeg het bedrijf voor 2019 met verschillende malware-infecties op het bedrijfsnetwerk te maken, maar deed geen onderzoek naar de oorzaak.

Verder werden klanten misleid doordat CafePress hun e-mailadressen ook voor marketingdoeleinden gebruikte, terwijl er was aangegeven dat dit niet zou gebeuren. De FTC heeft nu een schikkingsvoorstel gedaan, waarbij de vorige eigenaar van CafePress een bedrag van 500.000 dollar moet betalen. Daarnaast moet het bedrijf de beveiliging aanscherpen.