Luxottica a confirmé qu’un de ses partenaires avait subi une violation de données en 2021 qui a exposé les informations personnelles de 70 millions de clients après la publication gratuite d’une base de données ce mois-ci sur des forums de piratage.
Luxottica est la plus grande entreprise de lunettes, de lunettes et de montures de prescription au monde, et le propriétaire de marques populaires telles que Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce et Gabbana, Burberry, Giorgio Armani, Michael Kors et bien d’autres. La société exploite également Eyemed, une compagnie d’assurance vision aux États-Unis.
En novembre 2022, un membre du forum de hackers « Breached », aujourd’hui disparu, a tenté de vendre ce qu’il prétendait être une base de données de 2021 contenant 300 millions d’enregistrements d’informations personnelles relatives aux clients de Luxottica aux États-Unis et au Canada.
Selon le vendeur, la base de données contenait des informations personnelles sur les clients, telles que les adresses e-mail, les noms et prénoms, les adresses et la date de naissance.
Le vidage a été proposé à une vente privée à l’époque sur Breached, il n’était donc pas clair si les données avaient été volées lors d’une nouvelle attaque ou lors de deux attaques par lesquelles l’entreprise a été touchée en 2020.
Luxottica a subi une violation de données en août 2020 qui a révélé les informations personnelles de 829 454 patients EyeMed et Lenscrafters. Le mois suivant, Luxottica a de nouveau subi une attaque, cette fois une attaque de ransomware qui a mis fin aux opérations de l’entreprise en Italie et en Chine.
Cependant, plus récemment, la base de données a été divulguée dans son intégralité gratuitement les 30 avril et 12 mai 2023, sur différents forums de piratage, rendant les données beaucoup plus accessibles aux acteurs de la menace.
Andrea Draghetti, chercheur principal de la société italienne de cybersécurité D3Lab, a analysé les données divulguées et a confirmé à Breachtrace qu’elles contenaient 305 millions de lignes, 74,4 millions d’adresses e-mail uniques et 2,6 millions d’adresses e-mail de domaine unique.
Draghetti a également déterminé que la date d’exfiltration était le 16 mars 2021, sur la base des enregistrements de base de données les plus récents, ce qui signifie que les données provenaient probablement d’une violation de données non divulguée auparavant.
Luxottica confirme une nouvelle brèche
Après que Breachtrace a contacté Luxottica au sujet des données publiées, la société a confirmé que les données divulguées provenaient d’un incident de sécurité qui a touché un sous-traitant tiers détenant des données client.
La firme a ajouté que son enquête sur l’incident est toujours en cours. Cependant, il a déjà déterminé que les données exposées contiennent les noms complets des clients, les e-mails, les numéros de téléphone, les adresses et les dates de naissance.
« Nous avons découvert, grâce à nos procédures de surveillance proactives, que certaines données de clients de détail, prétendument obtenues par l’intermédiaire d’un tiers lié aux clients de détail de Luxottica, ont été publiées dans une publication en ligne.
Nous avons immédiatement signalé l’incident au FBI et à la police italienne. Le propriétaire du site Web sur lequel les données ont été publiées a été arrêté par le FBI, le site Web a été fermé et l’enquête est en cours. L’autorité italienne de protection des données a également été informée et nous envisageons d’autres obligations de notification.
D’après notre enquête, qui est toujours en cours, nous savons jusqu’à présent que les données consistent principalement en des coordonnées de clients, notamment des noms, des adresses, des numéros de téléphone, des e-mails et des dates de naissance. Les données n’incluent pas les informations financières des individus, les numéros de sécurité sociale, les données de connexion ou de mot de passe ou d’autres informations qui compromettraient la sécurité de nos clients.
EssilorLuxottica reste convaincu que ses systèmes n’ont pas été piratés et que son réseau reste sécurisé. » – Luxottica
Lorsqu’on leur a demandé quand ils avaient réalisé la violation pour la première fois, un porte-parole de Luxottica a répondu: « Nous avons appris l’incident pour la première fois par un message tiers sur le dark web en novembre 2022. »
Troy Hunt, le propriétaire du service de notification de violation de données «Have I Been Pwned» (HIBP), a déclaré à Breachtrace que les données divulguées comprennent 77 093 812 comptes uniques, dont 74% sont déjà dans les dossiers de la plateforme.
Hunt nous a dit que HIBP enverra aujourd’hui plus de 320 000 avis de violation aux abonnés de la plateforme concernant la violation de données de Luxottica en 2021.
Pour vérifier si vos informations ont été exposées dans cette violation, vous pouvez visiter le site HIBP et rechercher votre adresse e-mail sur la page principale, et le site répertoriera toutes les violations de données auxquelles votre adresse e-mail a été exposée.