E安全12月19日讯 美国联邦贸易委员会(Federal Trade Commission,FTC)上周三表示,全球知名婚外情网站AshleyMadison.com的经营者同意与联邦和州监管机构达成和解,包括长达20年的安全监管令和160万美元的罚款。
FTC主席埃迪斯·拉米雷兹在记者电话会议上表示,“我们今天公布AshleyMadison.com案件调查结果,是为了保护消费者。2015年7月Ashley Madison数据被泄,黑客泄露了该网站360万全球用户的个人数据,这是FTC有史以来调查的最大型的黑客事件之一。”
拉米雷兹表示,“被泄露的信息包括姓名、性取向、电子邮箱地址以及安全问题与答案。”
有人批评处罚过轻,她强调,该和解方案还设计“禁令救济,为消费者提供有意义的保护”。她还指出,处罚本来更重,但暂停了近90%,因为这样一来,该公司将会破产。
她表示,“我们想让Ashley Madison尝点苦头,我们不希望他们非法获利,同时也不会使其破产。”
谈到罚款时,她表示,“坦白讲,这比我们想要处罚的金额低太多。”
拉米雷兹表示,FTC诉讼凸显该机构宣称的三个做法“具有欺骗性,且不公平”,最终按照FTC法案的规定提起公诉。
- 该公司未采取合理的措施确保Ashley Madison.com网站安全。
- 制造虚假女性档案吸引客户付费。
- 向客户承诺收取19美元删除个人资料后,竟食言,未删除客户的个人资料。
该公司承诺,客户付费19美元后,他们将会删除所有数据,包括个人资料、发送与接收的消息、网站使用历史记录、个人身份信息和照片。
起诉书指出,该公司通过收取19美元“完全删除”数据服务赚取超过230万美元,然而该公司在很多情况下保留了客户长达12个月的个人信息。
拉米雷兹指出,这一点事关重大,因为许多人支付费用删除数据,但结果发现数据却于2015年7月被泄。
起诉书指出,该公司一再歪曲公司安全性,在主页展示“可信任安全奖”图标,表明网站是“SSL安全网站”。此外,还有一张图片显示,网站提供“100%周到服务”。网站还在其它地方描述为网站“100%安全”、“零风险”和“完全匿名”。
但是,起诉书指出,该公司缺乏书面信息安全政策、合理的访问控制、适当的员工安全培训,不具备第三方服务提供商使用合理安全措施的知识,并缺乏监控系统安全有效性的措施。
FTC指控称,2014年11月至2015年6月,黑客入侵该公司网络几次,但因该公司数据安全措施松懈,以致毫无察觉。
拉米雷兹表示,“和解条款包括1760万美元的总罚款。但考虑到该公司“无力支付”,暂停了绝大多数罚款。”
她表示,“我们对支付能力的分析基于他们提交的详细财务数据”。她补充称,如果之后发现该公司谎报财务状况,FTC可以要求支付全部罚款。
她敦促出席电话会议的记者(考虑到该公司去年在美国的营收为470万美元,些记者询问罚款金额)—“关注强大的禁令救济”元素。她补充称,“我们通常不会在数据安全案例中获得金钱救济”。
和解协议的禁令条件包括, 20年的监管令期间,该公司必须采取最佳标准安全做法,由独立第三方评估机构每两年对其进行评估,并禁止使用虚假档案。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
如果此文章侵权,请留言,我们进行删除。0day
文章评论