Geeks.com-operatör avgör dataöverträdesklagomål

En online-säljare av dator leveranser och konsumentelektronik har inte lyckats skydda kunddata på ett tillfredsställande sätt och kommer att behöva lämna in externa granskningar i 10 år i en överenskommelse med US Federal Trade Commission.

Compgeeks.com, som även driver Geeks.com och moderbolaget Genica, hade en dataöverträdelse upptäckt i december 2007, som påverkar hundratals kunder. Webbplatserna samlade kundens personuppgifter, inklusive namn, adresser och kreditkortsnummer.

Företagen lagrade rutinmässigt kunders känsliga personuppgifter i okrypterad text på sina företags datornätverk före december 2007, enligt ett FTC-klagomål. Företagen bedömde inte "noggrant" huruvida deras webbapplikationer och nätverk var sårbara för allmänt kända förutsägbara attacker, inklusive SQL-injektionsattacker, sade FTC.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Företagen genomförde inte "enkelt, lättillgängligt" och billigt försvar för att motverka dessa attacker, sade FTC. Från januari till juni 2007 utnyttjade hackare upprepade gånger dessa sårbarheter genom att använda SQL-injektionsattacker på Geeks.com, FTC: s påstådda klagomål.

Webbplatserna kränkte federal lag genom att felaktigt ange att de vidtog lämpliga åtgärder för att skydda personuppgifter, sade FTC. Deras politik för integritetspolicy säger: "Vi använder säker teknik, kontroller av integritetsskydd och begränsningar för arbetstagarnas tillgång för att skydda din information."

En avveckling med FTC, meddelade torsdagen, hindrar företagen att göra bedrägliga personuppgifter och data säkerhetskrav och kräver att de genomför och underhåller ett omfattande informationssäkerhetsprogram. Avvecklingen kräver också att de, varje år i 10 år, får en revision från en tredje part för att säkerställa att säkerhetsprogrammet uppfyller normerna för uppgörelsen.

Genica har arbetat nära med statliga och federala brottsbekämpande tjänstemän och med datorteknik experter för att ta reda på vem som var ansvarig för överträdelsen och att lösa några säkerhetsproblem, säger Peter Green, företagets marknadschef. "Vi har tagit denna överträdelse väldigt seriöst," tillade han.