将信用卡号存储在调试日志中，中国快时尚平台 Shein 母公司因安全意识薄弱被罚 190 万美元

10 月 13 日，中国快时尚品牌 Shein(希音)和 Romwe(葇薇)的母公司 Zoetop Business Company, Ltd.(卓天商务有限公司)与美国纽约州总检察长莱蒂蒂亚·詹姆斯(Letitia James，又译詹乐霞)的办公室达成协定，将向纽约州支付 190 万美元的罚款，原因是该公司未能妥善处理波及全球数千万消费者个人信息的泄露事件，并谎报了数据泄露的严重程度。

Zoetop 于 2018 年 6 月遭到黑客攻击，3900 万个 Shein 账户和 700 万个 Romwe 账户被盗，一些用户（包含纽约州用户）的信用卡信息以及包括姓名、电子邮件地址和帐户密码在内的个人信息遭到泄露，并被黑客在相关论坛上出售。关于账户密码，“Zoetop 用散列密码的方法，因此很容易被破解，攻击者可以通过这种方法识别原始的、未散列的密码，”纽约的调查发现。

而且，该调查 [PDF]还发现，每当交易遇到错误时，Zoetop 会将人们的信用卡号以纯文本形式存储在调试日志中。因此，当入侵者在 2018 年 6 月闯入该零售商的计算机时，他们也许能够在该文件中找到近 30,000 个订单的信用卡完整的详细信息。

Zoetop 直到大约一个月后才意识到它的系统已被入侵。2018 年 7 月 18 日左右，一家主要的信用卡网络和另一家发卡银行联系了 Zoetop，表明 Zoetop 的系统已被渗透，信用卡数据被盗。随后，Zoetop 聘请了一家网络安全公司，证实了此次泄露。

在 2018 年调查结束时，这家大型零售商淡化了安全漏洞，没有强制重置密码，也没有联系所有受影响的 Shein 购物者。相反，Zoetop 只向一小部分受感染用户发送消息，大多数受到影响的消费者甚至不知道自己的信息已被泄露。Zoetop 还在新闻稿中声称有 642 万客户受到影响。

最重要的是，根据纽约股份公司的说法：Zoetop 没有定期进行外部漏洞扫描，也没有定期监控或审查审计日志以识别安全事件。

詹姆斯在声明中说：“Shein 和 Romwe 薄弱的数字安全措施使黑客很容易盗窃消费者的个人数据。当纽约州消费者在 Shein 和 Romwe 上购买最新时尚时，他们的个人数据被盗。Zoetop 试图掩盖它。未能保护消费者的个人数据并对此撒谎并不‘时尚’。 Shein 和 Romwe 必须加强其网络安全措施，以保护消费者免受欺诈和身份盗用。这份协议应向该公司发出明确警告，即他们必须加强其数字安全措施，并对消费者保持透明，否则将不会被容忍。”

190 万美元，大约是 300,000 件 Shein 出售的衣服，而 Shein 品牌价值 1000 亿美元，因此，这笔支出大概不会对这家大型零售商带来任何影响，正如一些人所说，这只是做生意的成本。