Le procureur général James obtient 300 000 dollars de détaillants d'articles de sport en ligne qui n'ont pas protégé les informations personnelles des consommateurs

NEW YORK - Le procureur général de New York, Letitia James, a obtenu 300 000 dollars de Sports Warehouse Inc. (Sports Warehouse), un détaillant d'articles de sport en ligne, pour ne pas avoir protégé les données personnelles de 2,5 millions de consommateurs. Sports Warehouse, qui possède les sites de vente en ligne d'articles de sport Tennis Warehouse, Running Warehouse, Skate Warehouse et Tackle Warehouse, avait une mauvaise sécurité des données qui l'a rendu vulnérable à une violation de données en 2021 qui a compromis les informations privées des consommateurs, y compris les informations de carte de crédit et les adresses électroniques de plus de 136 000 New-Yorkais. En vertu de cet accord, Sports Warehouse doit payer 300 000 dollars de pénalités à l'État et renforcer ses mesures de cybersécurité pour protéger les informations privées des consommateurs. 

"Sports Warehouse a géré ses entreprises sans le matériel adéquat pour protéger les acheteurs en ligne contre les cyberattaques, et aujourd'hui ils paient le prix pour avoir compromis la vie privée numérique des consommateurs", a déclaré James, procureur général de l'Union européenne. "Lorsque nous achetons des chaussures de tennis ou des vêtements de sport en ligne, nous ne nous attendons pas à ce que des voleurs s'enfuient avec les données de notre carte de crédit ou d'autres informations personnelles. Les New-Yorkais méritent de savoir que leurs informations privées sont en sécurité, et nous continuerons à poursuivre les entreprises qui violent ce droit et à veiller à ce qu'elles améliorent leurs pratiques en matière de sécurité des données".  

En 2021, un pirate a accédé aux serveurs des filiales de Sports Warehouse, apparemment en tentant d'identifier les identifiants de connexion par des essais et des erreurs répétés. Après avoir obtenu l'accès aux serveurs des sociétés, le pirate a créé plusieurs shells web pour obtenir un accès à distance au serveur de commerce des sociétés Sports Warehouse, qui contenait des informations sur les cartes de paiement pour presque tous les achats effectués sur leurs sites web depuis 2002. L'enquête menée par les entreprises de l'Entrepôt des sports a révélé que le pirate avait également accédé aux adresses électroniques et aux mots de passe de certains clients. Au total, les pirates ont potentiellement accédé aux informations de cartes de paiement non expirées de pas moins de 1 813 224 consommateurs, dont 101 558 New-Yorkais, et aux identifiants de connexion de 1 180 939 consommateurs, dont 82 757 New-Yorkais.   

L'Office of the Attorney General (OAG) a déterminé que les sociétés Sports Warehouse n'avaient pas adopté de pratiques raisonnables pour protéger les informations personnelles des consommateurs. En particulier, l'OAG a constaté que les sociétés Sports Warehouse n'ont pas crypté les informations privées des consommateurs sur leurs serveurs et n'ont pas adopté de pratiques appropriées de suppression des données.  

En vertu de l'accord conclu aujourd'hui, les sociétés Sports Warehouse doivent verser à l'État des pénalités d'un montant de 300 000 dollars et adopter des mesures visant à mieux protéger les informations personnelles des consommateurs à l'avenir : 

• Maintenir un programme complet de sécurité de l'information comprenant des mises à jour régulières pour suivre l'évolution de la technologie et des menaces à la sécurité, et signaler les risques de sécurité à la direction de l'entreprise ; 
• Cryptage des informations privées que les entreprises collectent, utilisent, stockent et conservent ;  
• Renforcer les exigences relatives aux mots de passe des clients et hacher tous les mots de passe stockés ;  
• Développer un programme de tests de pénétration qui inclut des tests réguliers de la sécurité du réseau de l'entreprise ; et, 
• mettre à jour leurs pratiques en matière de collecte et de conservation des données, notamment en ne collectant les données que dans la mesure minimale nécessaire à l'exécution de fonctions commerciales légitimes et en supprimant définitivement toutes ces données lorsqu'il n'y a plus d'objectif commercial ou juridique raisonnablement prévisible justifiant la conservation de ces informations. 

Cette action s'inscrit dans la continuité des efforts déployés par le procureur général James pour protéger les informations personnelles des consommateurs et tenir les entreprises responsables de leur mauvaise cybersécurité. En début de semaine, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les informations privées de ses patients. Le mois dernier, l'Attorney General James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à mieux protéger les informations personnelles des New-Yorkais. En décembre 2022, l'Attorney General James a obtenu 200 000 dollars de la part d'un producteur de casquettes et de robes d'étudiants, Herff Jones, pour n'avoir pas protégé les informations personnelles des consommateurs. En octobre 2022, le procureur général James a annoncé un accord de 1,2 million de dollars avec le propriétaire de SHEIN et Zoetop pour ne pas avoir géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs dans tout le pays. En juin 2022, le procureur général James a obtenu 400 000 dollars de Wegmans et a exigé du détaillant qu'il améliore la sécurité du stockage des données après qu'une violation de données a exposé les informations personnelles des consommateurs. En mars 2022, l'Attorney General James a publié une alerte aux consommateurs conseillant aux clients de T-Mobile de prendre les mesures appropriées pour protéger leurs informations personnelles à la suite d'une violation de données.  

Cette affaire a été traitée par l'assistante du procureur général Laura Mumm et le chef de bureau adjoint Clark Russell, avec l'assistance spéciale de l'analyste Nishaant Goswamy, du bureau de l'Internet et de la technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le procureur général adjoint en chef Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.