美国联邦贸易委员会 (FTC) 希望对CafePress定制T恤和商品网站的前所有者处以50万美元的罚款，因为他未能保护其用户数据并试图掩盖影响数百万人的重大数据泄露事件。

正如消费者保护监管机构所解释的那样，CafePress的前所有者 Residual Pumpkin Entity以纯文本形式存储了其客户的社会安全号码和密码重置答案，并且他们的数据超过了必要的时间。

“由于其劣质的安全措施，CafePress 的网络多次遭到破坏，”FTC 今天表示 。

“委员会提议的命令要求该公司加强其数据安全，并要求其前所有者支付50万美元 [ PDF 同意令] 以补偿小企业。”

根据提议的解决方案，Residual Pumpkin和PlanetArt（CAfePress 的新所有者）将需要实施多因素身份验证，最大限度地减少收集和保留的数据量，加密存储在其服务器上的社会安全号码。

2019 年 2 月的大规模数据泄露

在2019年2月CafePress 的服务器遭到入侵后，未知的攻击者访问并随后在暗网上出售了属于23,205,290 名用户的大量信息，其中包括：

• 数百万个弱加密的电子邮件地址和密码； 
• 数百万个未加密的姓名、物理地址以及安全问题和答案； 
• 超过 180,000 个未加密的社会安全号码； 
• 以及数以万计的部分支付卡号和到期日期。

据称，CafePress试图掩盖这一大规模数据泄露事件，直到2019年9月，也就是 BleepingComputer 报告泄露事件一个月后，才通知任何受影响的客户。

当时，CafePress没有回应 BleepingComputer 的询问，也没有就该事件发表声明。出现问题的唯一迹象是用户在登录时被迫重置密码（没有提及违规行为）。

未能报告违规行为和调查攻击

CafePress甚至在2019年数据泄露之前就意识到它存在数据安全问题。根据FT 的投诉，该公司发现一些店主的账户至少在2018年1月被黑客入侵。

CafePress没有通知他们这些事件，而是关闭了他们的账户，并向他们每人收取了25美元的账户关闭费。 

该公司的网络在2019年安全漏洞之前也受到了几次恶意软件感染的打击，并且未能再次调查这些攻击。
FTC 补充说，CafePress 还据称“通过使用消费者电子邮件地址进行营销来误导用户，尽管它承诺此类信息只会用于履行消费者所下的订单。”