Le procureur général James obtient 1,9 million de dollars du propriétaire du commerce électronique SHEIN et ROMWE, Zoetop, pour avoir omis de protéger les données des consommateurs.

En juin 2018, Zoetop a été visé par une cyberattaque. Les attaquants ont volé des informations sur les cartes de crédit et des informations personnelles, notamment les noms, les adresses électroniques et les mots de passe de compte hachés de certains clients de Zoetop, y compris des acheteurs de SHEIN. Zoetop n'a pas détecté l'intrusion et a ensuite été informé par son processeur de paiement que ses systèmes semblaient avoir été compromis. La société de traitement des paiements a indiqué qu'elle avait été contactée par un grand réseau de cartes de crédit et une banque émettrice de cartes de crédit, qui disposaient tous deux d'informations "indiquant que le(s) système(s) [de Zoetop] avait(avaient) été infiltré(s) et que les données des cartes avaient été volées". 

À la suite de la cyberattaque, Zoetop a engagé une entreprise de cybersécurité pour mener une enquête médico-légale. La société de cybersécurité a confirmé que les attaquants avaient eu accès au réseau interne de Zoetop et avaient modifié le code responsable du traitement des transactions des clients dans le but d'intercepter et d'exfiltrer les informations relatives aux cartes de crédit des clients. La société de cybersécurité a également constaté que les attaquants avaient exfiltré les informations personnelles des clients de SHEIN, notamment les noms, les adresses électroniques et les mots de passe de compte hachés. Dans le monde entier, 39 millions d'identifiants de comptes SHEIN ont été volés, y compris les identifiants de plus de 375 000 résidents de New York.

L'enquête de l'OAG a révélé que Zoetop n'a contacté qu'une partie des 39 millions de comptes SHEIN dont les identifiants de connexion avaient été compromis et n'a pas réinitialisé les mots de passe ou protégé d'une autre manière les comptes exposés. Pour la grande majorité des comptes SHEIN touchés par la violation - plus de 32,5 millions de comptes dans le monde et 255 294 résidents de New York - Zoetop n'a même pas averti ces clients que leurs identifiants de connexion avaient été volés.  

En outre, les déclarations publiques de Zoetop concernant la violation des données comportaient plusieurs déclarations inexactes sur l'ampleur et la portée de la violation. Par exemple, Zoetop a faussement déclaré que seuls 6,42 millions de consommateurs avaient été touchés par la violation et que la société était en train de notifier tous les clients concernés. Zoetop a également déclaré, à tort, qu'elle "n'avait vu aucune preuve que les informations relatives aux cartes de crédit [des clients] avaient été extraites de nos systèmes".    

Deux ans plus tard, Zoetop a découvert que les identifiants de connexion des comptes clients de ROMWE étaient disponibles sur le dark web. Sur la base des résultats d'une enquête forensique, Zoetop a conclu que les identifiants de connexion de ROMWE avaient probablement été exfiltrés en 2018 dans le cadre de la même attaque qui avait impacté les comptes SHEIN. Zoetop a réinitialisé les mots de passe des comptes concernés et en a informé les consommateurs ROMWE concernés. Au total, les identifiants de connexion de plus de 7 millions de comptes ROMWE ont été volés, dont près de 500 000 appartenaient à des résidents de New York.

Le BVG a constaté qu'au moment de la violation de données de 2018, Zoetop n'a pas maintenu des mesures de sécurité raisonnables pour protéger les données des clients dans plusieurs domaines :

• Gestion des mots de passe: Jusqu'en août 2018, Zoetop hachait les mots de passe de ses clients à l'aide d'un algorithme dont on savait à l'époque qu'il était insuffisant pour protéger contre les attaques.
• Protection des informations sensibles des clients: Zoetop a mal configuré ses systèmes pour stocker les informations relatives aux cartes de crédit de certaines transactions dans un fichier journal de débogage en texte clair, ce qui est moins sûr et plus facile d'accès pour les pirates. En outre, au moment de la violation, Zoetop n'a pas effectué de scans pour identifier l'endroit où les données des titulaires de cartes étaient stockées sur ses systèmes. 
• Surveillance: Zoetop n'a pas effectué d'analyses régulières des vulnérabilités externes ni surveillé ou examiné régulièrement les journaux d'audit pour identifier les incidents de sécurité.
• Réponse aux incidents: Zoetop n'avait pas mis en place un plan de réponse aux incidents complet et écrit pour faire face à une cyberattaque. En outre, à la suite de la violation de données de 2018, Zoetop n'a pas pris de mesures opportunes pour protéger un grand nombre de clients impactés.

En vertu de l'accord conclu aujourd'hui, Zoetop doit verser à l'État de New York 1 900 000 $ en pénalités et en frais. De plus, Zoetop doit maintenir un programme complet de sécurité de l'information qui comprend un hachage robuste des mots de passe des clients, une surveillance du réseau pour détecter toute activité suspecte, une analyse de la vulnérabilité du réseau et des politiques de réponse aux incidents exigeant une enquête rapide, une notification rapide aux consommateurs et une réinitialisation rapide des mots de passe. 

Cette affaire a été traitée par l'assistant du procureur général Hanna Baek et le Senior Enforcement Counsel Jordan Adler du Bureau of Internet and Technology, sous la supervision du chef de bureau Kim A. Berger et du chef de bureau adjoint Clark P. Russell. Le Bureau of Internet and Technology fait partie de la Division for Economic Justice, qui est supervisée par le Chief Deputy Attorney General Chris D'Angelo et la First Deputy Attorney General Jennifer Levy.