美国亚裔生鲜电商 Weee! 遭黑客窃取约 1130 万条订单记录和 110 万个客户账户的个人信息,泄露内容包含姓名、地址、电子邮箱、电话号码、订单号以及订单备注,攻击者自 2023 年 2 月 6 日起在暗网论坛公开这批数据。由于未按加州要求实施合理的数据安全措施,Weee! 随后在加州面临一起提出 13 项指控的集体诉讼,其中包括违反《加州消费者隐私法》(CCPA)。
TL;DR
Weee! 是一家专注亚洲和西班牙裔食品的美国在线生鲜配送企业。根据公司声明,一名自称 IntelBroker 的攻击者窃取了约 1130 万条订单信息和 110 万个客户账户的个人数据,字段涵盖顾客姓名、地址、电子邮箱、电话号码、订单号以及订单备注(例如投递或留置地点),并包含用户下单时使用的设备类型(iPhone 或 Android)。攻击者于 2023 年 2 月 6 日开始在 Breached 黑客与数据泄露论坛上发布这批数据。Weee! 表示公司不保留客户支付信息,因此信用卡等敏感支付数据未受此次泄露影响。
泄露数据随后流入暗网。在自测中,一名用户的邮箱、地址和电话于 2023 年 2 月 15 日被确认出现在暗网监测结果中。

事件对 Weee! 的品牌声誉和客户信任造成明显损害,并直接引发客户流失与集体诉讼。受影响用户反映在泄露后频繁收到诈骗电话和短信。

2023 年 5 月针对 Weee! 提起的集体诉讼指出,Weee! 为节约成本、削减开销,未能实施适当的数据安全协议来保护其系统中存储的个人信息,并质疑该公司未能检测到未经授权的网络访问、未处理系统不安全的警告。诉状对 Weee! 提出包括违反 CCPA 在内的 13 项指控。这类诉讼与近年多起数据泄露和解一脉相承,例如摩根士丹利就用户数据泄露与美国检察长联盟达成 650 万美元和解,显示企业一旦被认定数据保护不力,将面临高额赔偿风险。
电商、支付、点餐等数字化平台在服务用户过程中会搜集海量个人数据,甚至包括信用卡信息、精准定位等敏感数据,容易成为攻击目标,也更受监管关注。CCPA 等法律要求企业为消费者提供退出(opt-out)数据出售与共享的途径,并对未实施合理安全措施的企业追责。对面向加州消费者的平台而言,泄露事件往往同时触发监管审查和私人集体诉讼两条路径。
面对个人数据泄露与监管风险,电商、餐饮等平台可从四个方向加固隐私保护:
CCPA 对面向加州消费者的企业设定了明确的退出权与安全义务,其适用范围与消费者权利可参考《加州隐私权法案 CPRA》合规指南。把数据安全作为产品与工程的前置约束,而非事后补救,才能在泄露高发的行业里降低合规与诉讼风险。