La chaîne de vente au détail canadienne Tigre Géant a divulgué une violation de données en mars 2024.
Un acteur de la menace a maintenant publiquement revendiqué la responsabilité de la violation de données et divulgué 2,8 millions d’enregistrements sur un forum de pirates informatiques qui, selon eux, appartiennent à des clients de Tigre géant.
Le service de surveillance des violations de données HaveIBeenPwned a ajouté la base de données divulguée à son site Web pour permettre aux utilisateurs de vérifier facilement si leurs informations ont été compromises.
La chaîne de magasins discount exploite plus de 260 magasins et emploie 8 000 personnes à travers le Canada
2,8 millions d’enregistrements de clients divulgués en ligne
Vendredi, Breachtrace a remarqué un article intitulé » Base de données Tigre géant-Fuite, Téléchargez! »faire surface sur un forum de hackers.
L’acteur de la menace à l’origine de la publication affirme avoir téléchargé la base de données « complète » des dossiers clients de Tigre géant volés en mars 2024.
« En mars 2024, la chaîne canadienne de magasins discount Giant Tiger Stores Limited… a subi une violation de données qui a exposé plus de 2,8 millions de clients », déclare l’acteur de la menace.
« La violation comprend plus de 2,8 millions d’adresses électroniques uniques, de noms, de numéros de téléphone et d’adresses physiques. »
Les données volées dans le dépotoir, affirme l’auteur de la menace, incluent en outre « l’activité du site Web » des clients de Tigre géant.
« J’ai finalement ouvert 60 des 60 pages de la section base de données! »a répondu un membre du forum au message, d’autres demandant de prévisualiser un échantillon de l’ensemble de données. L’acteur menaçant a obligé et a posté un petit extrait.
L’ensemble de données a été divulgué essentiellement gratuitement. Bien que le lien de téléchargement de l’ensemble doive être déverrouillé en dépensant « 8 crédits », ces crédits sont généralement générés de manière triviale par les membres du forum, par exemple en commentant des publications existantes ou en contribuant à de nouvelles publications.
Les acteurs de la menace violent souvent les entreprises et volent des données sensibles pour les faire chanter et extorquer de l’argent. À défaut d’extorsion réussie, un acteur de la menace peut délibérément divulguer les données volées en ligne ou les vendre sur des places de marché dark Web à des acheteurs intéressés à mener des attaques de vol d’identité et d’hameçonnage.
Violation causée par un fournisseur tiers
Breachtrace n’a pas vérifié l’authenticité de l’ensemble de données, cependant, nous avons contacté Tigre géant avec des questions concernant la fuite.
Sans commenter l’authenticité des données divulguées, un porte-parole a répondu:
« Le 4 mars 2024, Tigre Géant a pris connaissance d’un problème de sécurité lié à un fournisseur tiers que nous utilisons pour gérer les communications et l’engagement des clients », a déclaré un porte-parole de Tigre géant à Breachtrace .
« Nous avons déterminé que les coordonnées de certains clients de Tigre géant avaient été obtenues sans autorisation. Nous avons envoyé des avis à tous les clients concernés pour les informer de la situation. »
« Aucune information de paiement ou mot de passe n’était impliqué. »
Tigre Géant a refusé de partager le nom du fournisseur tiers en question.
Enregistrements ajoutés à HaveIBeenPwned
Depuis le 12 avril, l’ensemble de données divulgué a été ajouté à la rubrique » Ai-je été Pwned? »base de données.
HaveIBeenPwned (HIBP) est un service en ligne gratuit qui permet aux utilisateurs de vérifier si leurs données ont été compromises lors de violations de données connues.
Le nombre d’enregistrements violés associés à cet incident ajoutés à la base de données HIBP est de 2 842 669, le service indiquant que 46% de ces enregistrements figuraient déjà dans sa base de données.
Les clients de Tigre Géant doivent se méfier des courriels suspects ou des communications entrantes qui prétendent provenir du détaillant. Il pourrait très probablement s’agir de tentatives de phishing ciblées de la part d’acteurs de la menace.
Bien qu’aucune information de paiement ou mot de passe n’ait été exposé dans cette violation, l’inscription à un service de surveillance de l’identité pourrait être bénéfique pour les clients en les empêchant de devenir victimes de vol d’identité.