La Oficina del Fiscal General de Nueva York ha publicado recientemente una notificación de sanción a Zoetop, empresa propietaria de las enormemente conocidas tiendas de ropa Shein y Romwe. El motivo de la sanción ha sido el resultado de una investigación por la que se ha tenido conocimiento de que, en 2018, la sancionada fue víctima de una fuga de datos por un ataque de ciberdelincuencia, que gestionó de forma negligente.
La negligencia se encuentra en varios hechos: por la falta de notificación de la misma a los afectados, por las declaraciones engañosas que llevaron a cabo en el momento en que ocurrió el incidente y por la falta de medidas de seguridad que llevaron al incidente.
En cuanto al primero de los hechos, aproximadamente 39 millones de cuentas de Shein y 7 millones de cuentas de Romwe se vieron afectadas, siendo objeto del incidente datos identificativos, datos de contacto, contraseñas y datos de tarjetas de crédito. Siendo esta la cantidad de personas afectadas, es de gran relevancia el hecho de que, en su momento, Zoetop declarase que habían sido 6.5 millones de personas las afectadas y que se encontraban en proceso de ser notificadas; notificaciones que no llegaron.
La resolución de la Fiscalía General de Nueva York no solo menciona estos estos sino que también habla de la falta de medidas de seguridad previas, que hizo posible que ocurriera el incidente.