Il est reproché à Zoetop de ne pas avoir informé 40 millions d'utilisateurs d'une violation des données et d’avoir minimisé l'étendue de la violation.
Cible d’une cyberattaque en 2018 le groupe Zoetop vient d’être condamné par un tribunal commercial New-Yorkais. Il est reproché au groupe de ne pas avoir informé 40 millions de clients d’un vol de données bancaire d'acheteurs de ses marques Shein et Romwe.
A l’époque de la cyberattaque, le groupe avait assuré que seul 6,4 millions d’utilisateurs avaient été touchés. Il lui est également reproché de ne pas avoir mis en place les mesures adéquates pour protéger ses clients. Zoetop n’avait même pas pris la peine de réinitialiser les mots de passe déclarant qu’il « n'avait vu aucune preuve que les informations de carte de crédit [du client] avaient été extraites de nos systèmes ».
Renforcer les systèmes de sécurité
Le groupe devra donc payer 1,9 millions de dollars pour manquement à la protection des données des utilisateurs. « Cet accord doit envoyer un avertissement clair aux entreprises qu'elles doivent renforcer leurs mesures de sécurité numérique et être transparentes avec les consommateurs, rien de moins ne sera toléré », a résumé le cabinet de Letitia James dans un communiqué.
A l’époque, Zoetop n’avais pas détecté l’intrusion. C’est son processeur de paiement qui avait informé d’une compromission de ses systèmes. Ce dernier avait lui-même été contacté par des réseaux et banques émettrices de cartes de crédit avertissant que le système de Zoetop avait été infiltré et des données volées. Après enquête d’une société de cybersécurité engagée par Zoetop, il a été découvert que les pirates avaient accédé au réseau interne du groupe en modifiant le code responsable du traitement des transactions des clients. Et ce, afin d'intercepter et d'exfiltrer les informations de cartes de crédit.