Have I Been Pwned avertit qu’une prétendue violation de données a exposé les informations personnelles de 56 904 909 comptes pour des sujets brûlants, des boîtes à lunch et des clients Torrides.
Hot Topic est une chaîne de magasins américaine spécialisée dans les vêtements, accessoires et produits musicaux sous licence liés à la contre-culture. L’entreprise exploite plus de 640 magasins aux États-Unis et au Canada, principalement situés dans des centres commerciaux, et compte une vaste clientèle.
Selon HIBP, les détails exposés incluent les noms complets, les adresses e-mail, les dates de naissance, les numéros de téléphone, les adresses physiques, l’historique des achats et les données partielles de carte de crédit pour les sujets brûlants, les boîtes à lunch et les clients Torrides.
L’incident de sécurité a été initialement revendiqué sur BreachForums par un acteur de la menace nommé « Satanic » le 21 octobre 2024. L’acteur de la menace a affirmé avoir volé 350 millions d’enregistrements d’utilisateurs de Hot Topic et de ses marques associées, Box Lunch et Torrid.
« Satanic » tentait de vendre la base de données pour 20 000 while tout en exigeant une rançon de 100 000 from de Hot Topic pour supprimer la liste des forums.
À l’époque, Breachtrace a contacté Hot Topic pour s’enquérir de l’authenticité des données mais n’a reçu aucune réponse.
Un rapport de HudsonRock publié le 23 octobre a suggéré que la violation pourrait provenir d’une infection par un logiciel malveillant voleur d’informations qui a volé des informations d’identification pour un service d’unification de données utilisé par Hot Topic.
Bien que le sujet brûlant soit resté silencieux et qu’aucune notification n’ait été envoyée aux clients potentiellement touchés, la société d’analyse de données Atlas Privacy a rapporté la semaine dernière que la base de données de 730 Go avait en fait un impact sur 54 millions de clients.
De plus, Atlas a précisé que l’ensemble de données contient 25 millions de numéros de cartes de crédit cryptés avec un chiffrement faible qui est facile à casser à l’aide d’ordinateurs modernes.
Bien qu’Atlas ne soit pas certain à 100% que la base de données appartient à un sujet brûlant, il a noté que près de la moitié de toutes les adresses e-mail n’avaient pas été vues lors de violations précédentes, ce qui renforce la légitimité des affirmations de l’auteur de la menace.
Altas dit que la violation semble s’être produite le 19 octobre et que les données s’étendent de 2011 à cette date.
L’entreprise a mis en place un site qui permet aux clients de Hot Topic de vérifier si leur adresse e-mail ou leur numéro de téléphone est exposé dans la fuite de données.
Pendant ce temps, l’auteur de la menace continue de vendre la base de données, mais à un prix inférieur de 4 000$.
Les clients potentiellement concernés par des sujets brûlants doivent rester vigilants face aux attaques de phishing, surveiller de près leurs comptes financiers pour détecter toute activité suspecte et modifier leurs mots de passe sur toutes les plateformes où ils utilisent les mêmes informations d’identification.
Breachtrace a de nouveau contacté Hot Topic pour lui demander un commentaire, mais nous n’avons pas eu de nouvelles au moment de la publication.