2022/04/01

Dados em plain text valem multa de $500K

A FTC norte-americana quer multar os donos do site CafePress em meio milhão de dólares, por não seguirem as regras básicas de segurança e terem tentado esconder os roubos de dados que sofreram.

O site CafePress dedicava-se a imprimir coisas em t-shirts e outros produtos de merchandising, mas as suas práticas de segurança deixavam bastante a desejar - para não se dizer que eram inexistentes - tendo levado a múltiplos ataques que resultaram em roubo de dados de mais de 23 milhões de clientes.

Os dados roubados incluíam emails e password com encriptação fácil de quebrar; nomes, moradas e perguntas de segurança e respectivas respostas em plain text; números de segurança social em plain text; números de cartões de crédito e datas de validade. Para piorar, quando o site descobriu que alguém tinha acedido indevidamente e roubado estes dados, limitou-se a pedir aos clientes para alterarem a password, sem darem qualquer informação que os seus dados tinham sido expostos e agora faziam parte dos dados que circulam na internet.

Curiosamente, a alguns clientes o CafePress foi ainda mais longe, encerrando as suas contas e cobrando-lhes uma taxa de $25 pelo encerramento! Até poderia parecer piada de 1 de Abril, mas não é.

Talvez seja uma notícia que se deva manter sempre à mão, para enviar aos sites que ainda enviam passwords em plain text por email.

2 comentários:

  1. Este comentário foi removido pelo autor.

    ResponderEliminar
  2. Carlos, a borrada não fica por aí! Lê o resto:

    https://www.ftc.gov/news-events/news/press-releases/2022/03/ftc-takes-action-against-cafepress-data-breach-cover

    🤦🏼

    ResponderEliminar

[pub]