Kledingketen Zoetop moet de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. Volgens de procureur-generaal van de staat New York heeft de kledingketen persoonsgegevens van klanten niet goed beschermd en gelogen over de omvang. 

Zoetop ontdekte het datalek niet zelf, maar werd eind 2018 ingelicht door de betalingsverwerker nadat die door een creditcardmaatschappij was gewaarschuwd. 

Het ging om de gegevens van 6,42 miljoen klanten, zo stelde het bedrijf in eerste instantie. In juli 2019 bleek dat het om de gegevens van 39 miljoen klanten wereldwijd ging. Twee jaar later ontdekte Zoetop dat de gegevens van nog eens 7 miljoen klanten op internet te koop werden aangeboden. De gegevens waren zeer waarschijnlijk bij dezelfde aanval in 2018 buitgemaakt.

Onderzoek naar het bedrijf wees uit dat het van een zwak algoritme gebruikmaakte voor het hashen van wachtwoorden, dat door een misconfiguratie creditcardgegevens van sommige transacties in plaintext debug-logbestanden terechtkwamen, er niet periodiek op kwetsbaarheden werd gescand, logbestanden niet regelmatig op incidenten werden gecontroleerd en er geen schriftelijk incidentresponsplan was om op aanvallen te reageren.

Alles bij de bron; Security