Le géant américain de l’alimentation WK Kellogg Co avertit ses employés et ses fournisseurs que des données d’entreprise ont été volées lors des attaques de vol de données Cleo de 2024.
Cleo software est un utilitaire de transfert de fichiers géré qui a été ciblé en masse par le gang de ransomwares Clop à la fin de l’année dernière. Cette attaque a exploité deux failles zero-day identifiées comme CVE-2024-50623 et CVE-2024-55956, permettant aux auteurs de la menace de violer les serveurs et de voler des données.
« WK Kellogg a appris le 27 février 2025 qu’un incident de sécurité pouvait s’être produit impliquant Cleo », lit-on dans l’avis.
« WK Kellogg a immédiatement commencé à enquêter. Nous avons contacté Cleo, et Cleo nous a informés qu’une personne non autorisée avait eu accès le 7 décembre 2024 aux serveurs hébergés par Cleo pour nous qui étaient utilisés pour transférer les fichiers des employés à nos fournisseurs de services de ressources humaines. »
WK Kellogg Co est un géant américain de la fabrication alimentaire qui s’est séparé de Kellogg’s en octobre 2023. Elle a un chiffre d’affaires annuel de 2,7 milliards de dollars et possède des marques de céréales populaires telles que All-Bran, Corn Flakes, Froot Loops et Frosted Flakes.
Bien que l’entreprise ne mentionne pas spécifiquement Clop ou les attaques de vol de données, la date des incidents signalés coïncide avec la vague d’attaques survenue en décembre 2024.
De plus, les notifications de violation surviennent peu de temps après que le gang de ransomwares Clop a répertorié WK Kellogg sur son site d’extorsion de fuites de données.
La notification de violation de données partagée avec les autorités indique que les données exposées incluent le nom et le numéro de sécurité sociale d’une personne.
La lettre contient des instructions sur la manière dont les destinataires peuvent s’inscrire à des services gratuits de surveillance de l’identité et de protection contre la fraude d’un an via Kroll. Il est également recommandé aux personnes touchées d’envisager de placer des alertes à la fraude ou un gel de sécurité sur leur dossier de crédit.
Kellogg a déclaré avoir travaillé en étroite collaboration avec Cleo pour identifier les mesures de sécurité qu’elle a mises en œuvre pour remédier à la violation de l’année dernière et empêcher que des incidents similaires ne se reproduisent à l’avenir.
Kellogg est la dernière victime d’une longue liste d’entreprises touchées par les attaques Cleo zero-day de Clop, les acteurs de la menace divulguant progressivement des victimes supplémentaires et des échantillons de données volés plusieurs mois après l’incident.
La précédente divulgation a eu lieu le 18 mars par la Western Alliance Bank, basée en Arizona, qui a informé 22 000 clients que leurs données personnelles avaient été volées lors d’une violation en octobre 2024 du logiciel de transfert de fichiers sécurisé de Cleo.