Le détaillant américain de vêtements Hot Topic informe ses clients de plusieurs cyberattaques entre le 7 février et le 21 juin qui ont permis d’exposer des informations sensibles aux pirates.

Hot Topic est une chaîne de vente au détail spécialisée dans les vêtements et accessoires de contre-culture et la musique sous licence, qui compte 675 magasins à travers les États-Unis. Elle exploite également une boutique en ligne avec près de 10 millions de visiteurs chaque mois, selon les données de SimilarWeb.

Dans une notification de violation de données aujourd’hui, la société a expliqué que les pirates utilisaient des informations d’identification de compte volées et accédaient à plusieurs reprises à la plate-forme Rewards, volant potentiellement également les données des clients.

« Nous avons récemment identifié une activité de connexion suspecte sur certains comptes Hot Topic Rewards », lit-on dans l’avis.

« Après une enquête approfondie, nous avons déterminé que des parties non autorisées avaient lancé des attaques automatisées contre notre site Web et notre application mobile les 7 février, 11 mars, 19-21 mai, 27-28 mai et 18-21 juin 2023, en utilisant des informations d’identification de compte valides obtenues. d’une source tierce inconnue.

La société affirme que l’enquête a déterminé que Hot Topic n’était pas la source des informations d’identification, mais qu’elle n’a pas non plus pu trouver la source.

Dans le cadre des mesures de sécurité mises en œuvre après les attaques, Hot Topic a ajouté « des étapes spécifiques pour protéger notre site Web et notre application mobile contre » les attaques de bourrage d’informations d’identification.

Le « credential stuffing » est un type de cyberattaque qui repose sur le fait que les utilisateurs utilisent les mêmes informations d’identification sur plusieurs services en ligne. Lorsqu’une fuite ou une violation de données se produit, les acteurs de la menace testent généralement ces paires de nom d’utilisateur et de mot de passe sur divers services en ligne, en espérant qu’ils obtiennent une connexion réussie.

Hot Topic a déclaré qu’il ne pouvait pas faire la distinction entre les connexions non autorisées et légitimes. En conséquence, il informera tous les clients dont les comptes ont été consultés lors des cyberattaques.

Les informations susceptibles d’avoir été exposées à des pirates comprennent :

  • Nom et prénom
  • Adresse e-mail
  • Historique des commandes
  • Numéro de téléphone
  • Date de naissance
  • Adresse de livraison
  • Quatre derniers chiffres des cartes de paiement enregistrées

La société a précisé que l’accès malveillant ou l’exfiltration des informations ci-dessus n’a pas encore été vérifié, mais elle informe les titulaires de comptes potentiellement piratés par prudence.

Hot Topic envoie également des e-mails aux clients concernés contenant des instructions sur la réinitialisation des mots de passe des comptes, leur conseillant de choisir un mot de passe fort et unique.

Si vous êtes un client Hot Topic, il serait judicieux de réinitialiser les informations d’identification de votre compte sur d’autres plates-formes sur lesquelles vous pourriez utiliser les mêmes informations d’identification.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *