La marque de meubles américaine Lovesac avertit qu’elle a subi une violation de données affectant un nombre non divulgué d’individus, déclarant que leurs données personnelles ont été exposées lors d’un incident de cybersécurité.
Lovesac est un concepteur, fabricant et détaillant de meubles, exploitant 267 salles d’exposition à travers les États-Unis et réalisant des ventes nettes annuelles de 750 millions de dollars.
Ils sont surtout connus pour leurs systèmes de canapés modulaires appelés « sactionnels », ainsi que pour leurs poufs appelés « sacs ».’
Selon les avis envoyés aux personnes touchées, entre le 12 février 2025 et le 3 mars 2025, des pirates informatiques ont obtenu un accès non autorisé aux systèmes internes de l’entreprise et ont volé des données hébergées sur ces systèmes.
Lovesac a découvert la violation le 28 février 2025, ce qui signifie qu’il lui a fallu trois jours pour remédier complètement à la situation et bloquer l’accès de l’auteur de la menace à son réseau.
Les données qui ont été volées comprennent les noms complets et d’autres informations personnelles qui n’ont pas été divulguées dans l’échantillon d’avis partagé avec les bureaux du procureur général.
L’entreprise n’a pas précisé si l’incident avait des répercussions sur les clients, les employés ou les sous-traitants, et elle n’a pas non plus divulgué le nombre exact de personnes touchées.
Inclus dans la lettre de notification, les destinataires trouveront des instructions sur l’inscription à un service de surveillance du crédit de 24 24 mois via Experian, échangeable jusqu’au 28 novembre 2025.
L’entreprise a noté qu’elle n’avait actuellement aucune indication que les informations volées avaient été utilisées à mauvais escient, mais exhorte les personnes touchées à rester vigilantes contre les tentatives d’hameçonnage.
Un gang de ransomwares a revendiqué une attaque contre Lovesac
Bien que Lovesac ne nomme pas les attaquants et ne mentionne pas le cryptage des données dans les lettres, le gang de ransomwares RansomHub a revendiqué une attaque le 3 mars 2025.
Les auteurs de la menace ont ajouté Lovesac sur leur portail d’extorsion, annonçant la violation, indiquant leur intention de divulguer les données volées si un paiement de rançon n’est pas effectué. Nous n’avons pas été en mesure de déterminer s’ils ont donné suite à cette menace.
L’opération RansomHub ransomware-as-a-service (RaaS) est apparue en février 2024 et a depuis rassemblé une liste de victimes de premier plan, notamment la société de recrutement Manpower, le géant des services pétroliers Halliburton, la chaîne de pharmacies Rite Aid, la division européenne de Kawasaki, la maison de vente aux enchères Christie’s, le fournisseur de télécommunications américain Frontier Communications, l’organisation à but non lucratif Planned Parenthood Healthcare et le Club de football italien de Bologne.
L’opération de ransomware s’est discrètement arrêtée en avril 2025, nombre de leurs affiliés passant à DragonForce.
Breachtrace a contacté Lovesac pour en savoir plus sur l’incident, son impact et le nombre de clients touchés, et mettra à jour ce message si nous recevons une réponse.