Géant de supermarché Kroger Co. est la dernière grande entreprise à avoir révélé que sa liste de diffusion de clients est tombée entre les mains de spammeurs et d’escrocs.
Dans une communication envoyée aux clients aujourd’hui, Kroger a déclaré que sa base de données de noms et d’adresses e-mail de clients avait été piratée par une personne extérieure à l’entreprise. Un appel au numéro 1-800 inclus dans la missive se connecte à un long message enregistré avertissant les clients d’une augmentation des attaques de phishing et du spam ciblant les clients de Kroger. Les responsables des relations avec les médias de Kroger n’ont pas encore retourné les appels demandant des commentaires.
La divulgation fait suite à des reconnaissances similaires de McDonalds, Walgreens, Honda, deviantART et, plus récemment, TripAdvisor et play.com. Ils semblent être les retombées persistantes d’une série d’attaques sophistiquées et ciblées contre des dizaines de fournisseurs de services de messagerie (ESP) qui gèrent les communications entre certaines des plus grandes marques mondiales et les clients qui ont choisi de recevoir des messages de ces entreprises.
Dans la plupart des cas, le spam envoyé aux clients de ces entreprises a poussé les destinataires à acheter des services et des logiciels douteux. On ne sait pas quel fournisseur de services de messagerie a pu divulguer les informations sur les clients de Kroger, mais il semble que peu d’ESP, voire aucun, aient échappé aux blessures.
Selon le PDG de play.com, cette violation impliquait une attaque contre une société de marketing Systèmes SilverPop. SilverPop n’a pas répondu aux demandes de commentaires.
J’ai appelé SilverPop aujourd’hui parce qu’une source m’a transmis un message indésirable qui semble avoir été envoyé directement depuis les systèmes de messagerie internes de SilverPop (le texte et les en-têtes de cet e-mail sont ici). La missive est une offre à télécharger Adobe Reader, et les destinataires qui cliquent sur le lien inclus sont redirigés vers une page qui essaie de les facturer pour le logiciel gratuit. Cette approche est presque identique aux e-mails frauduleux envoyés directement après les attaques réussies contre les fournisseurs de services de messagerie en novembre de l’année dernière.
Mon rapport initial sur cette attaque contre l’industrie des fournisseurs de services de messagerie indique que la plupart des fournisseurs de l’industrie se sont fait voler les données des clients. Je me demande combien de temps nous devons continuer à regarder ce flux de divulgations s’écouler, et combien de temps cela pourrait prendre aux fournisseurs de services de messagerie comme SilverPop pour mettre de l’ordre dans leurs maisons ?
Mise à jour, 18 h 55 HE : Une histoire dans le Courrier d’affaires de Cincinnati dit que la violation s’est produite à Epsilonun fournisseur de services de messagerie dont le siège est à Dallas.
Mise à jour, 21 h 45 HE : Plusieurs lecteurs ont signalé avoir reçu des informations similaires aujourd’hui de la part d’une boutique de cadeaux Brookstone.
Mise à jour, 2 avril, 9 h 35 HE : Un autre lecteur a écrit pour dire qu’il avait reçu une notification (PDF) de Banque américainequi a déclaré que la liste de diffusion des clients de l’institution financière avait été volée en raison d’une violation chez Epsilon.
Mise à jour, 2 avril, 17 h 41 HE : La brèche Epsilon s’étend jusqu’à JPMorgan Chase, McKinsey Trimestrielet chaîne de vêtements New York & Cieselon de nouvelles divulgations de ces sociétés.
Mise à jour, 2 avril, 20 h 45 HE : Et la liste des divulgations continue : The Home Shopping Network vient de publier un communiqué (PDF) indiquant que sa liste de clients a été compromise via la violation d’Epsilon.
Mise à jour, 2 avril, 21h00 HE : On dirait que nous pouvons ajouter TiVo à la liste, bien que la divulgation de la société ne précise pas quel fournisseur de services de messagerie était responsable.
Mise à jour, 3 avril, 9 h 11 HE : Selon SecurityWeek.comles marques touchées par la violation d’Epsilon comprennent Capital One, City Market, Dillons, Jay C, Food 4 Less, Fred Meyer, Fry’s, King Soopers, Marriott Rewards, QFC, Ralphs, Ritz Carlton et Smith Brands and Walgreens.