Dans un incident qui a suscité l’étonnement dans le monde de la cybersécurité, un individu utilisant le pseudonyme ‘Satanic’ prétend avoir obtenu les données personnelles de 350 millions de clients du populaire détaillant de mode, Hot Topic. La nouvelle a été révélée par Hudson Rock, une entreprise israélienne de cybersécurité, qui a indiqué que le pirate présumé aurait accédé aux données via le compte fidélité de la marque.
Les données supposément en possession du pirate incluraient des informations personnellement identifiables (PII) telles que les noms, adresses électroniques, adresses postales, ainsi que les dates de naissance. Fait intéressant, les détails financiers semblent être restés largement inaccessibles, seuls les quatre derniers chiffres des numéros de carte de crédit, le type de carte, les dates d’expiration cachées et les noms des détenteurs de compte auraient été entre les mains du pirate. Ces allégations suggèrent un risque financier significatif mais quelque peu atténué, car on ne semble pas avoir compromis de détails complets de carte de crédit.
Dans un revirement de situation surprenant, le pirate aurait fixé le prix de la base de données à une modique somme de 20 000 $, un montant étonnamment bas compte tenu du volume de données. Ce montant pourrait refléter la valeur limitée de l’information en termes d’action possible dans le monde réel. De plus, le pirate aurait offert à Hot Topic l’opportunité de payer 100 000 $ pour retirer la liste de vente des données.
Le rapport de Hudson Rock a également suggéré une source potentielle de la violation. Il a été mentionné que les données divulguées pourraient provenir d’un employé de Robling, une entreprise d’analyse de vente au détail, qui a été victime d’une infection par un logiciel malveillant en septembre. Les données compromises contenaient apparemment 240 identifiants, renforçant encore la théorie d’une source interne.
Cet incident souligne une fois de plus l’importance primordiale de mesures de cybersécurité robustes, proactives et diversifiées pour protéger les données sensibles des clients. L’industrie suivra de près l’issue de cette affaire et ses implications potentielles pour les normes de cybersécurité à venir.