Avery Products Corporation avertit qu’elle a subi une violation de données après que son site Web a été piraté pour voler les cartes de crédit et les informations personnelles des clients.
Avery est une entreprise américaine qui produit et vend des étiquettes autocollantes, des éléments de marque de vêtements et des services d’impression.
Dans une notification de violation de données envoyée aux clients concernés, Avery a découvert qu’ils avaient été attaqués le 9 décembre 2024.
À la suite d’une enquête interne menée par des experts en criminalistique numérique, il a été découvert que des acteurs de la menace avaient installé un écumeur de cartes sur « avery.com, » le domaine de la boutique en ligne de l’entreprise, le 18 juillet 2024.
En conséquence, les informations de paiement sensibles saisies par les clients sur le site Web d’Avery entre le 18 juillet 2024 et le 9 décembre 2024 ont été exfiltrées vers les acteurs de la menace.
« Le 9 décembre 2024, Avery a pris connaissance d’une attaque de ransomware relative à certains systèmes », lit-on dans l’avis.
« Avery a immédiatement lancé une enquête, avec l’aide d’experts médico-légaux, pour déterminer la nature et la portée de l’activité. »
« Notre enquête a déterminé qu’un acteur non autorisé a inséré un logiciel malveillant qui a été utilisé pour « gratter » les informations de carte de crédit utilisées sur notre site Web avery.com entre le 18 juillet 2024 et le 9 décembre 2024. »
Les données qui ont été compromises à la suite de cette violation comprennent:
- Nom et prénom
- Adresse de facturation et de livraison
- Adresse e-mail
- Numéro de téléphone
- Numéro de carte de paiement, code CVV et date d’expiration
- Montant de l’achat
L’exposition n’inclut pas les numéros de sécurité sociale, les numéros de permis de conduire, les numéros d’identification émis par le gouvernement et les dates de naissance.
Pourtant, les données qui ont été exposées sont suffisantes pour effectuer des transactions frauduleuses sur les noms des victimes et alourdir leurs comptes d’achats non autorisés.
« Nous ne savons pas si des frais frauduleux sont liés à l’incident de notre site Web, mais il semble maintenant possible que des informations de carte de paiement (et autres) aient pu être acquises car nous avons reçu deux courriels de clients indiquant qu’ils avaient engagé des frais frauduleux et/ou un e-mail de phishing », a poursuivi la notification de violation de données.
« Nous avons reçu un certain nombre de rapports similaires ce mois-ci. Nous vous fournissons donc cet avis afin que vous puissiez prendre des mesures pour vous protéger. »
Selon l’entrée de violation de données sur le portail du procureur général du Maine, l’incident a touché 61 193 clients Avery.
Pour atténuer ce risque, Avery offre 12 mois de service gratuit de surveillance du crédit par l’intermédiaire de Cyberscout.
Il est également conseillé aux destinataires de la notification de se méfier des communications non sollicitées et de signaler immédiatement toute activité suspecte sur leurs comptes à leur banque et aux autorités.
Une ligne d’assistance dédiée a également été mise en place pour répondre aux questions et préoccupations des clients Avery concernant cet incident.