LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les chercheurs de l'entreprise de cybersécurité Group-IB annonce avoir découvert des bases de données contenant les informations personnelles de 3,7 millions de clients de Sephora en vente sur le Dark Web.
Mauvaise nouvelle pour les clients de Sephora. L'entreprise de cybersécurité Group-IB, basée à Singapour, annonce avoir découvert deux bases de données contenant les informations personnelles de clients de l'enseigne sur le Dark Web. Au total, les informations de près de 3,7 millions de clients sont mises en vente.
La fuite de données daterait de février 2019, mais la première base de données aurait été proposée à la vente sur deux forums underground les 7 et 17 juillet 2019. Le vendeur affirme que sa database contient 500 000 enregistrements, dont les noms d'utilisateurs et les mots de passe d'utilisateurs des sites web de Sephora Indonésie et Thaïlande.
La seconde base de données a été mise en ligne sur un forum le 28 juillet 2019. Plus conséquente que la première, elle contient 3,2 millions d'enregistrements et porte le nom » Sephora 2019/03 – Shopping « . Elle serait en fuite depuis le mois de mars 2019.
Pour découvrir ces offres frauduleuses proposées sur le Dark Web, les chercheurs de Group-IB ont utilisé des outils propriétaires afin » d'infiltrer les sources de la communauté fermée du hacking « . Ils ont ainsi pu contacter le vendeur, et obtenir un échantillon des données mises en vente.
Sephora : de nombreux détails physiques sur les clients sont en fuite
Les chercheurs ont alors pu découvrir des noms d'utilisateurs, des mots de passe chiffrés, ainsi que la date d'enregistrement et de dernière activité, l'IP d'enregistrement, la dernière IP en date, le genre, le nom, l'ethnie des utilisateurs. De plus, compte tenu du secteur d'activité de Sephora, des informations telles que la couleur des yeux, de la peau, des cheveux ou encore les habitudes de maquillage et de soins de la peau sont également incluses.
Rarement une fuite de données avait permis d'obtenir autant de détails physiques sur une victime. L'ensemble de données complet est proposé pour seulement 1900 dollars soit environ 1700 euros.
Suite à la découverte du Group-IB, Sephora s'est exprimée et annonce que les informations personnelles des utilisateurs de ses clients online de Singapour, Malaisie, Indonésie, Thaïlande, Philippines, Hong Kong, Australie et Nouvelle-Zélande sont bel et bien en fuite. Toutefois, la firme ne précise pas combien de clients sont concernés…
Fort heureusement, les clients français ou européens de la firme parisienne ne semblent pas concernés. Dans le cas contraire, Sephora aurait risqué une lourde amende RGPD infligée par la CNIL ou les autres autorités de protection des données européennes.
Néanmoins, l'entreprise rassure en précisant qu'aucune information de carte de crédit n'a été dérobée et qu'il n'y a actuellement aucune raison de penser que les données personnelles ont été exploitées. En outre, elle a contacté des experts externes qui assurent qu'aucune faille de sécurité majeure n'a été découverte sur les sites web asiatiques de Sephora.
Aucune cyberattaque n'a été détectée non plus. Cependant, il est tout à fait possible que ces données aient été exfiltrées par un employé mal intentionné de l'entreprise… la Personal Data Protection Commission of Singapore (PDPC) a ouvert une enquête.
- Partager l'article :
