Posté le juillet 14, 2021 à 10:04
DES HACKERS ONT VIOLE LE RÉSEAU DU DÉTAILLANT DE MODE MILLIARDAIRE GUESS
Le grand détaillant de mode américain Guess a annoncé la violation de ses serveurs après une attaque par ransomware en février. L’entreprise informe les clients concernés de l’intrusion afin de prévenir d’autres attaques contre les utilisateurs.
Guess déclare avoir engagé une société d’expertise en cybersécurité pour l’aider dans son enquête sur la violation. L’entreprise de sécurité a découvert un accès non autorisé au système de Guess du 2 au 23 février 2021, selon une déclaration créditée à l’entreprise.
En mai, l’équipe de sécurité a découvert que les données personnelles de certains clients avaient pu être acquises ou consultées par des acteurs malveillants.
La société possède plus de 1 000 magasins de détail en Asie, en Europe et sur le continent américain. Elle compte également plus de 500 partenaires et distributeurs dans le monde, la section des magasins de Guess étant actuellement opérationnelle dans plus de 100 pays à travers le monde.
Les hackers ont volé des informations personnelles et financières
L’enquête sur l’attaque a révélé que les auteurs de la menace ont volé des informations personnelles et financières sur le réseau de l’entreprise. Guess a identifié les adresses de tous les clients concernés et leur a envoyé un courrier les informant de l’attaque.
Le détaillant de mode a commencé à envoyer des lettres aux victimes touchées le 9 juin, leur offrant un an de surveillance gratuite de leur crédit et des services de protection contre le vol d’identité.
Les lettres ont été signées par Susan Tenney, directrice principale des ressources humaines de Guess, et envoyées uniquement aux clients résidant dans le Maine, bien que d’autres personnes résidant dans d’autres régions aient été touchées.
Données liées à l’attaque par ransomware de mai
Un porte-parole de Guess, interrogé sur l’incident, n’a pas précisé combien de clients avaient été touchés. Cependant, le porte-parole a noté qu' »aucune information de carte client n’a été impliquée. »
La société n’a pas confirmé si la récente violation faisait partie d’une attaque de ransomware. Toutefois, en avril, le groupe de ransomware Darkside a publié des données de victimes qui semblent provenir de l’entreprise de vente au détail.
Guess a également déclaré que l’incidence n’a pas d’impact sur ses résultats financiers d’exploitation.
En avril, DarkSide envoie l’un de ses membres s’entretenir avec un journaliste de Darkbreaches.net. Le membre a déclaré au site que d’après les dossiers financiers qu’ils ont étudiés, la société a rapporté environ 2,7 milliards de dollars de revenus depuis l’année dernière.
Guess a informé les utilisateurs après enquête
Le représentant a également déclaré que le groupe de ransomware mène ses opérations en plusieurs étapes et informe la presse lorsqu’il est certain que l’entreprise n’est pas disposée à payer le montant de la rançon. Les messages ont été écrits en Russie, mais interprétés par Bleeping Computer.
On ne sait pas exactement pourquoi Guess a décidé d’attendre longtemps avant de divulguer l’incident de piratage aux clients concernés.
Dans la plupart des cas, toute organisation victime fait l’objet d’une enquête après une attaque par ransomware. Il peut y avoir des retards dus à l’enquête et à la négociation avec les acteurs de la menace. Après sa tristement célèbre attaque contre Colonial Pipeline, DarkSide a mis fin à ses activités en mai.
Cependant, dans une lettre adressée aux victimes, Guess a déclaré qu’elle a enquêté sur l’incident et n’a conclu son enquête que récemment. Selon l’entreprise, l’attaque visait à crypter des fichiers et à perturber ses opérations commerciales.
Les données volées pourraient être utilisées pour de nouvelles attaques de phishing
Pour aider les victimes à éviter d’être de nouvelles cibles d’attaques de phishing, Guess offre des services supplémentaires en mettant en place un centre d’appel. Ce service s’adresse spécifiquement aux victimes et aux personnes ayant des questions sur l’incident. Il est également mis en place pour ceux qui cherchent à s’inscrire à des services de surveillance des cartes de crédit.
Erich Kron, spécialiste de la sensibilisation à la sécurité chez KnowBe4, a déclaré que l’attaque récente montre à quel point les attaquants de ransomware sont en relation. Si les acteurs de la menace DarkSide semblent avoir fermé boutique, cela ne signifie pas que d’autres ne peuvent pas se connecter avec eux pour copier leurs méthodes d’attaque.
Ce qui est inquiétant, c’est que les données volées peuvent être vendues à d’autres acteurs malveillants qui peuvent lancer d’autres attaques de vol d’identité ainsi que des attaques de phishing.
L’organisation a recueilli une quantité importante de données, notamment des numéros de permis de conduire, des numéros de sécurité sociale, des numéros de passeport, ainsi que des numéros de cartes de débit. Selon le chercheur, ces détails peuvent être très utiles à d’autres cybercriminels et acteurs de la menace qui souhaitent lancer des attaques sur les victimes à l’avenir.
