Geeks.com-exploitant schikt gegevensovertreding Klacht

Een online verkoper van computers verbruiksartikelen en consumentenelektronica hebben de klantengegevens onvoldoende beschermd en moeten zich gedurende 10 jaar onderwerpen aan externe audits in een schikking met de Amerikaanse Federal Trade Commission.

Compgeeks.com, dat ook Geeks.com exploiteert, en moederbedrijf Genica, had een datalek ontdekt in december 2007 en had invloed op honderden klanten. De websites verzamelden persoonlijke informatie van klanten, waaronder namen, adressen en creditcardnummers.

Volgens een klacht van de FTC hebben de bedrijven routinematig gevoelige, gevoelige informatie van klanten opgeslagen in niet-versleutelde tekst op hun bedrijfscomputernetwerken vóór december 2007. De bedrijven hebben niet "adequaat beoordeeld" of hun webtoepassingen en netwerk kwetsbaar waren voor algemeen bekende, te voorziene aanvallen, inclusief SQL-injectie-aanvallen, aldus de FTC.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

De bedrijven implementeerden "eenvoudige, gemakkelijk verkrijgbare" en goedkope verdedigingsmechanismen niet om deze aanvallen te dwarsbomen, aldus de FTC. Van januari tot juni 2007 hebben hackers herhaaldelijk deze kwetsbaarheden misbruikt door middel van SQL-injectieaanvallen op Geeks.com, beweert de FTC-klacht.

De sites hebben de federale wetgeving geschonden door ten onrechte te stellen dat zij gepaste maatregelen hebben getroffen om persoonlijke informatie te beschermen, zei de FTC. Hun privacybeleidsstatement luidt: "We gebruiken beveiligde technologie, privacybescherming en beperkingen op de toegang van medewerkers om uw informatie te beschermen."

Een schikking met de FTC, die donderdag is aangekondigd, verbiedt de bedrijven om misleidende privacy en gegevens te maken veiligheidsclaims en vereist dat ze een uitgebreid programma voor informatiebeveiliging implementeren en onderhouden. De schikking vereist ook dat ze om de twee jaar, gedurende 10 jaar, een audit van een externe professional verkrijgen om ervoor te zorgen dat het beveiligingsprogramma voldoet aan de normen van de regeling.

Genica heeft nauw samengewerkt met nationale en federale wetshandhavingsfunctionarissen en met computer forensische experts om erachter te komen wie verantwoordelijk was voor de inbreuk en om eventuele beveiligingsproblemen op te lossen, zei Peter Green, de marketing manager van het bedrijf. "We hebben deze schending zeer serieus genomen," voegde hij eraan toe.