La société chinoise ZOETOP, qui édite les sites de prêt-à-porter SHEIN.COM et ROMWE.COM, a été sanctionnée d’une amende de 1,9 million de dollars par l’État de New York pour n’avoir pas pris des mesures de sécurité appropriées.

Fuite de données chez SHEIN.COM

Cette sanction intervient à la suite d’un incident en juin 2018, au cours duquel l’entreprise en charge des paiements de ZOETOP avait informé la société que ses systèmes informatiques avaient probablement été infiltrés et que des numéros de cartes bancaires appartenant aux clients de SHEIN.COM avaient probablement été dérobés, car certains de ces numéros se trouvaient en vente sur Internet.

Les investigations menées par la société ont confirmé que le code informatique du site en charge des paiements avait bien été altéré par une personne non autorisée afin d’intercepter et d’exfiltrer les données relatives aux cartes bancaires des clients.

Les investigations ont également montré que les données de 39 millions de clients de SHEIN, dont 375 000 new-yorkais, ont été dérobées. Ces données contenaient notamment le nom des clients, leur ville, adresse e-mail et une empreinte de leur mot de passe générée avec l’algorithme MD5 et un « sel » de deux digits.

Suite à cet incident, la société ZOETOP n’a cependant pas réinitialisé les mots de passe des 39 millions de clients affectés, mais a uniquement recommandé aux 6,42 millions de clients américains, canadiens et européens qui avaient déjà passé commande de modifier leur mot de passe.

La société ZOETP a également publié un communiqué concernant cet incident, mais « plusieurs des déclarations faites par la société dans ces documents étaient toutefois trompeuses » :

  • la société a indiqué que 6,42 millions de clients étaient affectés, au lieu de 39 millions ;
  • la société a indiqué qu’elle « était en train d’informer les clients qui ont pu être affectés », ce qu’elle n’a pas fait puisque les 39 millions de clients affectés n’ont pas été informés ;
  • la société a indiqué aux clients « n’av[oir] vu aucune preuve que les informations relatives à [leur] carte de crédit ont été prises », alors que le rapport émis par l’entreprise en charge des paiements indiquait « avoir des raisons de croire » que les numéros des cartes bancaires avaient été dérobés.

Par ailleurs, les investigations ont montré que, lorsqu’un paiement par carte bancaire échouait, des informations relatives à la transaction, dont les données des cartes bancaires des clients, étaient écrites « en clair » dans les systèmes de ZOETOP. Au total, les documents présents dans les systèmes contenaient 27 296 transactions, qui dataient de décembre 2016 à août 2018.

Enfin, les audits ont montré que l’entreprise ZOETOP « n’avait pas développé, mis en œuvre ni documenté diverses politiques et de procédures exigés par la norme » PCI-DSS, alors que la société était certifiée depuis avril 2019.

Fuite de données chez ROMWE.COM

Cette sanction infligée à ZOETOP intervient aussi suite à un incident affectant un autre site de l’éditeur, ROMWE.COM.

En juin 2020, la société a découvert que les identifiants de connexion des clients étaient divulgués sur Internet. Après avoir mené des investigations, la société a conclu que les identifiants avaient été probablement dérobés au cours de l’incident de 2018 affectant SHEIN.COM et que les mots de passe étaient « en clair » car ils avaient été probablement décryptés, étant donné la faiblesse de l’algorithme utilisé.

Suite à ce second incident, la société ZOETOP a réinitialisé les mots de passe des utilisateurs de ROMWE.COM affectés, mais sans prévenir les clients. La société a également reinitialisé les mots de passe des utilisateurs de SHEIN.COM qui ne l’avaient pas été.

En décembre 2020, soit trois mois plus tard, la société a découvert que d’autres identifiants de connexion avaient été divulgués sur Internet. Au total, les identifiants de 7,3 millions utilisateurs de ROMWE.COM ont été divulgés, dont presque 500 000 new-yorkais.

Suite à ce troisième incident, la société ZOETOP a finalement notifié les utilisateurs.

Les manquements retenus à l’encontre de ZOETOP

« Le [procureur général] a constaté qu’au moment de la violation de données de 2018, ZOETOP n’a pas maintenu des mesures de sécurité raisonnables pour protéger les données des clients dans plusieurs domaines :

Gestion des mots de passe : Jusqu’en août 2018, ZOETOP a haché les mots de passe des clients à l’aide d’un algorithme qui ne permettait pas de protéger contre des attaques.

Protection des informations sensibles des clients : ZOETOP a mal configuré ses systèmes et stockait les informations de carte de crédit de certaines transactions dans un fichier en clair, ce qui est moins sûr et plus facile d’accès pour des pirates. De plus, au moment de la violation, ZOETOP n’a pas déterminé où étaient stockées les données des titulaires de cartes dans ses systèmes.

Surveillance : ZOETOP n’a pas effectué d’audits réguliers des vulnérabilités, ni surveillé ou examiné régulièrement les journaux de logs pour identifier les incidents de sécurité.

Réponse aux incidents : ZOETOP ne disposait pas d’un plan de réponse aux incidents pour faire face à une cyberattaque. En outre, à la suite de la violation de données de 2018, ZOETOP n’a pas pris de mesures en temps opportun pour protéger un grand nombre de clients affectés. »

Lire :