La justicia norteamericana, y más concretamente la Fiscalía General de Nueva York, ha obtenido 1,9 millones de dólares del re-tailer Zoetop Business Company, Ltd (Zoetop), que además es el accionista mayoritario de las tiendas SHEIN y ROMWE, por incumplimiento y ocultación de las normas de protección de datos, que afectó a más de 800.000 neoyorquinos.
Ha sido gracias a la investigación de esta fiscalía que se ha podido obtener esta sanción, debido a las deficientes medidas de seguridad en sus sistemas, la mala gestión de la filtración que sufrieron en 2018 (en parte por las medidas de seguridad utilizadas), la falta de notificación a los afectados y también el intento de encubrir la filtración mintiendo sobre el tamaño de la brecha.
La brecha de seguridad se produjo en 2018, concretamente en el mes de julio, cuando Zoetop, que no se había percatado de la intrusión, recibió informes de fraude y robo de identidad por parte de empresas de pago y bancos, indicando que era el resultado de una brecha en sus servidores.
Zoetop inició entonces una investigación interna y descubrió que el pasado mes de junio una filtración de datos había afectado a 39 millones de cuentas de Shein y a 7 millones de cuentas de Romwe, en las que los hackers robaron datos personales y de tarjetas de crédito, incluyendo nombres, direcciones de correo electrónico y contraseñas de cuentas cifradas de algunos de los clientes de Zoetop, incluidos los de Shein.
Zoetop emitió entonces declaraciones sobre la brecha con datos tergiversados que intentaban disimular el alcance de la brecha afirmando que sólo 6,42 millones de consumidores se habían visto afectados por la brecha y que la empresa estaba en proceso de notificar a todos los clientes afectados.
Ahora sabemos que Zeotop sólo se puso en contacto con una parte de los 39 millones de cuentas SHEIN cuyas credenciales estaban en peligro y no restableció las contraseñas ni protegió de otro modo las cuentas afectadas.
La gran mayoría de las cuentas SHEIN afectadas por la brecha de seguridad -más de 32,5 millones de cuentas en todo el mundo y 255.294 cuentas residentes en Nueva York- ni siquiera fueron informadas por Zeotop de que sus credenciales habían sido robadas.
Los comunicados de Zoetop también afirmaban falsamente que no había indicios de que los datos de las tarjetas de crédito (de sus clientes) hubieran sido eliminados de sus sistemas, a pesar de que la empresa sabía que se habían filtrado tras recibir comunicaciones de varios bancos y empresas de pago electrónico.
Dos años más tarde, en 2020, Zeotop descubrió que los datos de acceso de los clientes de Romwe estaban disponibles en la web oscura. Tras una nueva investigación interna, Zeotop concluyó que los datos de inicio de sesión de ROMWE probablemente se habían filtrado en 2018, en el mismo ataque que afectó a las cuentas de SHEIN. Zeotop restableció las contraseñas de las cuentas afectadas e informó a los clientes de ROMWE afectados.
En total, se robaron los datos de acceso de más de 7 millones de cuentas de ROMWE, de las cuales casi 500.000 pertenecían a residentes de Nueva York.
Hoy, gracias a la investigación de la fiscalía, se conocen todos los fallos de seguridad de Zeotop durante este incidente:
- Gestión de contraseñas: hasta agosto de 2018, Zoetop encriptó las contraseñas de sus clientes con un algoritmo que ya entonces se sabía que era insuficiente para protegerlas de los ataques.
- Protección de los datos sensibles de los clientes: Zoetop configuró incorrectamente sus sistemas para que la información de las tarjetas de crédito de ciertas transacciones se almacenara en texto plano en un archivo de registro de depuración, que es menos seguro y más accesible para los hackers. Además, en el momento de la filtración, Zoetop no realizó ninguna comprobación para determinar si se había accedido a los datos de los titulares de las tarjetas en sus sistemas.
- Vigilancia: Zoetop no realizaba escaneos regulares de vulnerabilidad externa y no supervisaba ni revisaba regularmente los registros de auditoría para detectar incidentes de seguridad.
- Respuesta a incidentes: Zoetop no tenía un plan integral por escrito para responder a un ciberataque. Además, después de la violación de datos de 2018, Zoetop no tomó medidas oportunas para proteger a muchos clientes afectados.
Como resultado del acuerdo de hoy, Zoetop tendrá que pagar 1.900.000 dólares en multas y honorarios. Además, Zoetop debe mantener un programa integral de seguridad de la información, que incluye un fuerte cifrado de las contraseñas de los clientes, la supervisión de la red para detectar actividades sospechosas, la revisión de las vulnerabilidades de la red y las políticas de respuesta a incidentes que requieren una investigación oportuna, la notificación rápida de los consumidores y el restablecimiento inmediato de las contraseñas.
