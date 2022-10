Kledingketen Zoetop, aanbieder van de merken Shein en Romwe, moet de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. Zoetop ontdekte het datalek niet zelf, maar werd eind 2018 ingelicht door de betalingsverwerker nadat die door een creditcardmaatschappij was gewaarschuwd. Criminelen hadden klantgegevens buitgemaakt, waaronder creditcardgegevens, namen, e-mailadressen en gehashte wachtwoorden.

Het ging om de gegevens van 6,42 miljoen klanten, zo stelde het bedrijf in eerste instantie. In juli 2019 bleek dat het om de gegevens van 39 miljoen klanten wereldwijd ging. Verder onderzoek wees uit dat Zoetop slechts een fractie van de getroffen klanten had gewaarschuwd en van geen enkel account de wachtwoorden had gereset. Ook claimde het bedrijf ten onrechte dat het geen bewijs had gevonden dat er creditcardgegevens van klanten waren gestolen, terwijl dit wel het geval was.

Naast de gegevens van 39 miljoen Shein-klanten ontdekte Zoetop pas twee jaar later dat de gegevens van 7 miljoen Romwe-klanten op internet te koop werden aangeboden. De gegevens waren zeer waarschijnlijk bij dezelfde aanval in 2018 buitgemaakt. Onderzoek naar het bedrijf wees uit dat het van een zwak algoritme gebruikmaakte voor het hashen van wachtwoorden, dat door een misconfiguratie creditcardgegevens van sommige transacties in plaintext debug-logbestanden terechtkwamen, er niet periodiek op kwetsbaarheden werd gescand, logbestanden niet regelmatig op incidenten werden gecontroleerd en er geen schriftelijk incidentresponsplan was om op aanvallen te reageren.

Volgens de procureur-generaal van de staat New York heeft de kledingketen persoonsgegevens van klanten niet goed beschermd en gelogen over de omvang. Naast het betalen van 1,9 miljoen dollar moet Zoetop ook maatregelen nemen om de bescherming van klantgegevens te versterken. "Deze overeenkomst is een duidelijke waarschuwing voor bedrijven dat ze hun digitale veiligheidsmaatregelen moeten versterken en transparant moeten zijn tegenover klanten, iets anders wordt niet getolereerd", zegt procureur-generaal Letitia James. Ze noemt het niet beschermen van klantgegevens en het liegen hierover "niet trendy".