2022/04/01

Dados em plain text valem multa de $500K

A FTC norte-americana quer multar os donos do site CafePress em meio milhão de dólares, por não seguirem as regras básicas de segurança e terem tentado esconder os roubos de dados que sofreram.

O site CafePress dedicava-se a imprimir coisas em t-shirts e outros produtos de merchandising, mas as suas práticas de segurança deixavam bastante a desejar - para não se dizer que eram inexistentes - tendo levado a múltiplos ataques que resultaram em roubo de dados de mais de 23 milhões de clientes.

Os dados roubados incluíam emails e password com encriptação fácil de quebrar; nomes, moradas e perguntas de segurança e respectivas respostas em plain text; números de segurança social em plain text; números de cartões de crédito e datas de validade. Para piorar, quando o site descobriu que alguém tinha acedido indevidamente e roubado estes dados, limitou-se a pedir aos clientes para alterarem a password, sem darem qualquer informação que os seus dados tinham sido expostos e agora faziam parte dos dados que circulam na internet.

Curiosamente, a alguns clientes o CafePress foi ainda mais longe, encerrando as suas contas e cobrando-lhes uma taxa de $25 pelo encerramento! Até poderia parecer piada de 1 de Abril, mas não é.

Talvez seja uma notícia que se deva manter sempre à mão, para enviar aos sites que ainda enviam passwords em plain text por email.

Sem comentários:

Enviar um comentário (problemas a comentar?)