【大纪元2023年02月11日讯】(大纪元记者徐曼沅洛杉矶报导)因疫病流行,许多民众转为网上购物,近三年来,以在美华人为主要客户对象的网络生鲜超市平台“Weee!”迅速崛起,业务不断扩大。近日,该平台遭骇客攻击,恐造成110万用户数据泄露,而受害者很难索赔。
据Bleepingcomputer网站报导,一名自称“IntelBroker”的骇客在数据泄密论坛Breached上称:已获取Weee!的用户数据,隶属Sayweee数据库的个资已开放,供网友下载、使用。其中,包括Weee!用户的全名、电邮、电话号码、使用设备类型、订单等信息。
7日,Weee!证实了数据泄露的消息,同时也陆续给顾客发信。该公司在致顾客的信件中表示,数据泄露发生在2023年2月6日,骇客窃取了2021年7月12日至2022年7月12日期间所下订单的信息。被窃的信息包括:姓名、地址、电子邮件、电话号码、订单号、订单金额等。但该公司向客户保证:没有泄露任何付款数据(信用卡/借记卡详细信息),因为他们不会在数据库中保留任何客户付款信息;但为安全起见,Weee!建议客户定期更改用户密码。
收到Weee!信函的南加华裔葛小姐表示,近日的确常接到陌生电话。通常,她看到陌生电话都不会接,但有一回接了,对方开口就喊她的名字,背景音很嘈杂,自己根本不认识对方。葛小姐怀疑,这些陌生、疑似诈骗的电话或许就是Weee!的个资泄露造成的。
受害者反应不一
葛小姐说:“我已经删除了信用卡的资讯,但地址、电话删不了。”她暂时不打算删除账户,想看看Weee!公司今后的措施再说,或许有可能获得赔偿。但葛小姐表示,她近期不会再利用Weee!购物平台。
洛杉矶居民刘太太表示,疫情后不久,她就开始用Weee!购物,但结束居家闭疫后,刘太太的生活已逐渐恢复正常。她说:“我已经很久没在Weee!平台上购物了,以前一个月下好几单,但现在连着几个月没买了。”
刘太太说,Weee!平台上一些亚洲商品在洛杉矶的确较难买到,如日本、韩国的生活用品;但这些都不是生活必需品,可以找到替代品。所以,当刘太太收到Weee!的个资泄露通知后,就考虑删除账号,避免信用卡被盗用。
在媒体公司担任采购部主管的Michelle王,也是Weee!个资泄露的受害者,但她不大担心信用卡账号被骇客窃取。因为,虽然网络允许储存信用卡号和相关信息,但收款公司只能看到信用卡的后四位数,所以即使骇客从Weee!窃得信用卡的信息,也不会是完整的。
经历了此事,Michelle王也越发肯定虚拟信用卡的好处。她说:“现在虚拟信用卡已经流行起来,商店发的礼品卡其实就是以虚拟信用卡的形式存在。”因为虚拟信用卡可以灵活设定使用额度,且能随时开卡、锁卡,大大降低了信用卡被盗用的风险。不过,目前只有公司行号能申请虚拟信用卡,个人仍无法申请。
律师解析赔偿可能性
对Weee!个资泄露的受害者而言,最关心的或许是能否获得赔偿。加州注册律师周梅表示:“商家泄露个资,并不意味着消费者就会获得自动赔偿。”
根据2018年通过的《加州消费者隐私法》(California Consumer Privacy Act,下称CCPA),消费者可就每次个资泄露事件追讨100至750美元的损害赔偿。
周梅进一步解释,加州第一代CCPA于2018年通过,2020年11月通过了《加州隐私权利法》(California Privacy Rights Act,下称CPRA),扩大了CCPA的范围,因而也被称为CCPA 2.0版。但CCPA和CPRA规定了适用企业范围,该法律只适用于年收入2,500万美元以上,且50%以上收入来自出售消费者资讯的企业。
周梅表示,现在的企业,无论网上销售平台还是银行,都会收集和出售消费者资讯。问题是:Weee!的收入中,是否有一半来自出售消费者资讯。另外,Weee!的年收入若不足2,500万美元,CCPA或者CRPA就不适用于这一事件。
她说:“哪怕Weee!是适用于CCPA和CRPA的企业,还有一个问题:泄露个资是否就意味着自动赔偿。”周梅表示,和一般的民事行为追责一样,CCPA和CRPA认为,只有能证明企业因疏忽和过错(Negligence)造成了损失,消费者才可追责。所以,Weee!的110万用户想获得赔偿并不容易。
从去年开始,就陆续有Weee!用户在小红书等社群平台投诉Weee!泄露个人资讯。Weee!所泄露的110万用户数据,是否仅限于2021年7月至2022年7月之间,也有待澄清。目前,Weee!官方除了此前的公开声明与致用户道歉信外,并未说明是否给予赔偿。◇
责任编辑:呈文
