Posté le mai 19, 2023 à 6:10

LUXOTTICA DÉCLARE QUE DES DONNÉES APPARTENANT À 70 MILLIONS DE CLIENTS ONT ÉTÉ EXPOSÉES À LA SUITE D’UNE FUITE DE LA BASE DE DONNÉES

Luxottica a déclaré qu’un de ses partenaires avait été victime d’une violation de données en 2021. La violation de données a exposé des données personnelles appartenant à 70 millions de clients après la divulgation d’une base de données sur des forums de piratage.

Luxottica confirme une violation de données en 2021

Luxottica est la plus grande entreprise de lunetterie au monde. Elle propose des verres et des lunettes de vue. Elle est également le fournisseur de grandes marques telles que Dolce and Gabbana, Versace, Michael Kors, Prada, Chanel, Oakley et d’autres encore.

En novembre de l’année dernière, l’un des membres du groupe « Breached », aujourd’hui disparu, a tenté de vendre des données qui contiendraient 300 millions d’enregistrements de données personnelles relatives aux clients de Luxottica au Canada et aux États-Unis. À l’époque, le vendeur avait déclaré que la base de données contenait des informations personnelles sur les clients, telles que des adresses électroniques, des noms, des adresses physiques et des dates de naissance.

Les données ont fait l’objet d’une vente privée dans Breach. Toutefois, à l’époque, on ne savait pas encore si les données avaient été volées à la suite d’une nouvelle attaque ou de deux attaques qui avaient touché l’entreprise en 2020.

Luxottica a été piratée en août 2020, ce qui a entraîné l’exposition de données personnelles appartenant à 829 454 patients chez EyeMed et Lenscrafters. Un mois plus tard, l’entreprise a subi une nouvelle attaque. Il s’agit d’une attaque par ransomware qui a conduit l’entreprise à interrompre ses activités en Chine et en Italie.

Toutefois, la base de données a récemment fait l’objet d’une fuite en accès gratuit. La fuite a eu lieu entre le 30 avril et le 12 mai, et les données ont été publiés sur de nombreux forums de piratage. Les données qui ont fait l’objet d’une fuite sont désormais plus accessibles aux hackers.

Le chercheur principal de la société de cybersécurité D3Lab basée en Italie, Andrea Draghetti, a analysé les données divulguées qui contiennent 305 millions de lignes, 2,6 millions d’adresses électroniques de domaines uniques et 74,4 millions d’adresses électroniques uniques.

M. Draghetti a ajouté que la date d’exfiltration des données était le 16 mars 2021, si l’on en croit les enregistrements récents de la base de données. Ces enregistrements montrent que les données proviennent probablement d’une violation de données qui n’a pas été communiquée auparavant.

Les données qui ont fait l’objet d’une fuite proviennent d’une nouvelle faille de sécurité

Luxottica a déclaré que les données divulguées provenaient d’une faille de sécurité qui a affecté un contractant tiers ayant accès aux données des clients. L’entreprise a également déclaré qu’elle menait toujours des enquêtes sur cette violation.

« D’après notre enquête, qui est toujours en cours, nous savons que les données concernent principalement les coordonnées des clients, y compris les noms, les adresses, les numéros de téléphone, les e-mails et les dates de naissance. Les données ne comprennent pas d’informations financières, de numéros de sécurité sociale, de données de connexion ou de mots de passe, ni d’autres informations susceptibles de compromettre la sécurité de nos clients », a déclaré l’entreprise.

Un porte-parole de l’entreprise a indiqué qu’elle avait appris l’existence de la faille par le biais d’un message d’un tiers publié sur le dark web en novembre 2022. Les données divulguées comprennent plus de 77 millions de comptes uniques, dont 74 % existent déjà dans les archives de la plateforme.