Le détaillant américain Hot Topic a révélé que deux vagues d’attaques de bourrage d’informations d’identification en novembre avaient exposé les informations personnelles et les données de paiement partielles des clients concernés.
Le sujet brûlant de la chaîne de mode rapide compte plus de 10 000 employés dans plus de 630 magasins aux États-Unis et au Canada, le siège social de l’entreprise et deux centres de distribution.
Dans les attaques de bourrage d’informations d’identification, les cybercriminels utilisent des outils automatisés pour déclencher des millions de tentatives de connexion à l’aide d’une liste de paires de noms d’utilisateur et de mots de passe. La technique est particulièrement efficace lorsque les utilisateurs réutilisent les mêmes informations de connexion sur plusieurs plateformes.
Les lettres de notification de violation envoyées aux clients potentiellement touchés cette semaine révèlent que les attaquants ont ciblé les comptes de récompenses Hot Topic lors d’attaques automatisées utilisant des informations de connexion obtenues d’une source inconnue.
« Nous avons déterminé que des parties non autorisées ont lancé des attaques automatisées contre notre site Web et notre application mobile les 18 et 19 novembre et le 25 novembre 2023, en utilisant des informations d’identification de compte valides (par exemple, des adresses e-mail et des mots de passe) obtenues à partir d’une source tierce inconnue », a déclaré Hot Topic.
« Sur la base de notre enquête à ce jour, nous ne sommes pas en mesure de déterminer quels comptes, le cas échéant, ont été consultés par des tiers non autorisés par opposition aux connexions légitimes des clients pendant les périodes pertinentes. »
Les informations sensibles qui auraient pu être exposées sur des comptes compromis incluent les noms, adresses e-mail, historiques de commandes, numéros de téléphone, mois et jours de naissance et adresses postales des clients concernés.
Hot Topic indique que les comptes de récompenses piratés n’auraient permis aux attaquants d’accéder qu’à des données de paiement partielles, en particulier les quatre derniers chiffres du numéro de carte.
La chaîne de magasins a travaillé avec des experts externes en cybersécurité après les attaques de novembre pour déployer un logiciel de protection des robots qui devrait bloquer de telles attaques à l’avenir.
Hot Topic obligera également les clients qui reçoivent les notifications de violation de données à définir un nouveau mot de passe pour empêcher d’autres acteurs de la menace de détourner leurs comptes Web ou mobiles Hot Topic.
Cette notification intervient après cinq autres vagues d’attaques d’informations d’identification ciblant des clients Hot Topic l’année dernière les 7 février, 11 mars, 19-21 mai, 27-28 mai et 18-21 juin.