Le 12 octobre 2022, la procureure générale de New York, Letitia James, a annoncé que son bureau avait obtenu une amende de 1,9 million de dollars du détaillant de commerce électronique Zoetop, propriétaire de SHEIN et ROMWE, à la suite d’une violation de données mal gérée. Le bureau du procureur général de l’État de New York («NYAG») a allégué dans son assurance de cessation que Zoetop n’avait pas correctement géré la violation et avait menti sur sa portée aux consommateurs.
En 2018, des attaquants ont ciblé Zoetop et ont volé les informations de carte de crédit, les adresses e-mail et les mots de passe de compte hachés de certains clients de Zoetop. Zoetop a découvert la violation après que la société a été informée par son processeur de paiement avec des informations « indiquant que [Zoetop’s] système[s] ont été infiltrés et les données de la carte volées. Zoetop a engagé une société de cybersécurité, qui a confirmé que les attaquants avaient exfiltré les informations d’identification de 39 millions de comptes SHEIN, dont 375 000 résidents de New York.
L’enquête du NYAG sur la gestion de la violation par Zoetop a révélé que Zoetop n’avait pas contacté tous les titulaires de compte concernés, forcé la réinitialisation des mots de passe ou pris des mesures pour protéger les personnes concernées. En outre, Zoetop a fait plusieurs fausses déclarations publiques sur la taille et la portée de la violation, notamment en déclarant à tort que seuls 6,42 millions de consommateurs ont été touchés, que la société informait tous les consommateurs concernés et qu’elle n’avait aucune preuve que les informations de carte de crédit avaient été affectées.
De plus, en 2020, Zoetop a appris que les identifiants de connexion ROMWE étaient disponibles sur le dark web. À la suite d’une enquête médico-légale, Zoetop a conclu que les informations d’identification avaient probablement été exfiltrées lors de la cyberattaque de 2018. Plus de 7 millions de comptes clients ROMWE avaient été compromis, dont environ 500 000 appartenaient à des résidents de New York. L’enquête du NYAG a également révélé que Zoetop n’avait pas réussi à maintenir des mesures de sécurité raisonnables, telles qu’une gestion adéquate des mots de passe, la protection des informations sensibles des clients, la surveillance appropriée de ses systèmes et le maintien d’un plan de réponse aux incidents. En plus de payer à New York 1,9 million de dollars de pénalités et de frais, « Zoetop doit maintenir un programme complet de sécurité des informations qui comprend un hachage robuste des mots de passe des clients, une surveillance du réseau pour les activités suspectes, une analyse des vulnérabilités du réseau et des politiques de réponse aux incidents nécessitant une enquête en temps opportun, des consommateurs en temps opportun. avis et réinitialisation rapide du mot de passe. »