Luxottica confirme une violation de données en 2021 après des informations sur 70 millions de fuites en ligne

Blog

MaisonMaison / Blog / Luxottica confirme une violation de données en 2021 après des informations sur 70 millions de fuites en ligne

Feb 26, 2024

Luxottica confirme une violation de données en 2021 après des informations sur 70 millions de fuites en ligne

Luxottica a confirmé qu'un de ses partenaires a subi une violation de données en 2021 qui a exposé les informations personnelles de 70 millions de clients après la publication gratuite ce mois-ci d'une base de données sur le piratage.

Luxottica a confirmé qu'un de ses partenaires a subi une violation de données en 2021 qui a exposé les informations personnelles de 70 millions de clients après qu'une base de données a été publiée gratuitement ce mois-ci sur des forums de piratage.

Luxottica est la plus grande entreprise de lunettes, fabricant de lunettes et de montures de prescription au monde, et propriétaire de marques populaires telles que Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce et Gabbana, Burberry, Giorgio Armani, Michael Kors et bien d'autres. La société exploite également Eyemed, une compagnie d'assurance visuelle aux États-Unis.

En novembre 2022, un membre du forum de hackers « Breached », aujourd'hui disparu, a tenté de vendre ce qu'il prétendait être une base de données de 2021 contenant 300 millions d'enregistrements d'informations personnelles liées aux clients de Luxottica aux États-Unis et au Canada.

Selon le vendeur, la base de données contenait des informations personnelles sur les clients, telles que leurs adresses e-mail, leurs noms et prénoms, leurs adresses et leur date de naissance.

Le dump était alors proposé en vente privée sur Breached, il n'était donc pas clair si les données avaient été volées lors d'une nouvelle attaque ou lors de deux attaques qui ont touché l'entreprise en 2020.

Luxottica a subi une violation de données en août 2020 qui a exposé les informations personnelles de 829 454 patients d'EyeMed et de Lenscrafters. Le mois suivant, Luxottica a de nouveau subi une attaque, cette fois une attaque de ransomware qui a interrompu les opérations de l'entreprise en Italie et en Chine.

Cependant, plus récemment, la base de données a été divulguée dans son intégralité et gratuitement, les 30 avril et 12 mai 2023, sur différents forums de piratage, rendant les données beaucoup plus accessibles aux acteurs malveillants.

Andrea Draghetti, chercheur principal de la société italienne de cybersécurité D3Lab, a analysé les données divulguées et a confirmé à BleepingComputer qu'elles contiennent 305 millions de lignes, 74,4 millions d'adresses e-mail uniques et 2,6 millions d'adresses e-mail de domaine uniques.

Draghetti a également déterminé que la date d'exfiltration était le 16 mars 2021, sur la base des enregistrements de la base de données les plus récents, ce qui signifie que les données provenaient probablement d'une violation de données non divulguée auparavant.

Après que BleepingComputer ait contacté Luxottica au sujet des données publiées, la société a confirmé que les données divulguées provenaient d'un incident de sécurité ayant affecté un sous-traitant tiers détenant les données des clients.

La société a ajouté que son enquête sur l'incident était toujours en cours. Cependant, il a déjà déterminé que les données exposées contiennent les noms complets des clients, leurs adresses e-mail, leurs numéros de téléphone, leurs adresses et leurs dates de naissance.

« Nous avons découvert grâce à nos procédures de surveillance proactives que certaines données des clients de détail, prétendument obtenues par l'intermédiaire d'un tiers lié aux clients de détail de Luxottica, ont été publiées dans une publication en ligne.

Nous avons immédiatement signalé l'incident au FBI et à la police italienne. Le propriétaire du site Internet sur lequel les données ont été publiées a été arrêté par le FBI, le site Internet a été fermé et l'enquête est en cours. L'autorité italienne de protection des données a également été informée et nous envisageons d'autres obligations de notification.

Grâce à notre enquête, qui est toujours en cours, nous savons jusqu'à présent que les données sont principalement constituées de coordonnées des clients, notamment leurs noms, adresses, numéros de téléphone, e-mails et dates de naissance. Les données n'incluent pas les informations financières des individus, les numéros de sécurité sociale, les données de connexion ou de mot de passe ou toute autre information susceptible de compromettre la sécurité de nos clients.

EssilorLuxottica reste confiant dans le fait que ses systèmes n’ont pas été piratés et que son réseau reste sécurisé. » - Luxottica

Lorsqu’on lui a demandé quand ils avaient réalisé la violation pour la première fois, un porte-parole de Luxottica a répondu : « Nous avons appris l’incident pour la première fois grâce à une publication tierce sur le dark web en novembre 2022. »

Troy Hunt, propriétaire du service de notification des violations de données « Have I Been Pwned » (HIBP), a déclaré à BleepingComputer que les données divulguées comprennent 77 093 812 comptes uniques, dont 74 % figurent déjà dans les archives de la plateforme.

Hunt nous a dit que HIBP enverrait aujourd'hui plus de 320 000 notifications de violation aux abonnés de la plateforme concernant la violation de données Luxottica de 2021.