AutoZone avertit des dizaines de milliers de ses clients qu’il a subi une violation de données dans le cadre des attaques de transfert de fichiers Clop MOVEit.
AutoZone est le principal détaillant et distributeur de pièces détachées et d’accessoires automobiles aux États-Unis, exploitant 7 140 magasins dans le pays ainsi qu’au Brésil, au Mexique et à Porto Rico.
L’entreprise réalise un chiffre d’affaires annuel de près de 17,5 milliards de dollars, emploie 119 000 personnes et sa boutique en ligne est visitée par 35 millions d’utilisateurs par mois, selon les statistiques de similarweb.com.
Plus tôt cette année, le groupe de ransomwares Clop a exploité une vulnérabilité MoveIT zero-day pour pirater des milliers d’organisations dans le monde, entraînant une double extorsion et des fuites de données affectant des millions de personnes.
AutoZone a informé aujourd’hui les autorités américaines qu’elle a subi une violation de données dans le cadre de ces attaques du 28 mai 2023, entraînant la compromission des données de 184 995 personnes.
« AutoZone a pris conscience qu’un tiers non autorisé a exploité une vulnérabilité associée à MOVEit et a exfiltré certaines données d’un système AutoZone prenant en charge l’application MOVEit », peut-on lire dans la notification.
« Nous avons effectué une analyse du système concerné et des données associées pour déterminer si vos informations ont été potentiellement concernées. »
« Plus précisément, vers le 15 août 2023, AutoZone a déterminé que l’exploitation de la vulnérabilité de l’application MOVEit avait entraîné l’exfiltration de certaines données. »
Il a fallu trois mois supplémentaires à l’entreprise pour déterminer quelles données les intrus avaient volées dans ses systèmes et qui avait été touché et devait être informé.
L’échantillon de lettre qu’AutoZone a partagé avec les autorités a censuré les détails sur le type de données compromises. Pourtant, la liste du bureau du procureur général du Maine mentionne des « noms complets » et des « numéros de sécurité sociale ».
L’entreprise a pris en charge le coût du service de protection contre l’usurpation d’identité pour les destinataires des lettres et leur conseille de rester vigilants pendant les 24 prochains mois, en signalant tout incident suspect aux autorités.
Le gang du ransomware Clop a assumé la responsabilité d’une attaque contre AutoZone plus tôt cette année et a publié toutes les données qu’il prétendait avoir volées à l’entreprise le 7 juillet 2023.
Les données divulguées par les cybercriminels mesurent environ 1,1 Go et contiennent les noms des employés, les adresses e-mail, les détails de la fourniture de pièces, les informations fiscales, les documents de paie, les fichiers de base de données Oracle, les données sur les magasins, les informations sur la production et les ventes, etc. Aucune donnée client n’apparaît dans les fichiers divulgués.
Le gang du ransomware Clop devrait recevoir plus de 75 millions de dollars en paiements d’extorsion de la part des entreprises touchées par les attaques de vol de données MOVEit. En juillet, Emsisoft a signalé que plus de 77 millions de personnes avaient vu leurs données exposées.
Breachtrace a contacté AutoZone pour demander plus d’informations sur l’incident et savoir si l’ensemble de données divulgué est authentique, et nous mettrons à jour ce message dès que nous recevrons une réponse.