Des chercheurs de l’entreprise de cybersécurité IB affirment la découverte d’une fuite de données concernant 3,7 millions clients de Sephora sur le Dark Web.
Une mauvaise nouvelle pour les clients de Sephora. L’expert en cybersécurité IB, basé à Singapour, annonce avoir découvert .la vente de deux bases de données contenant des informations des clients de l’enseigne sur le Dark Web. Au total, ce sont près de 3,7 millions de clients victimes de cette fuite.
Cet incident daterait de février 2019, mais la première base. de données aurait été proposée publiquement à la vente sur deux forums underground les 7 et 17 juillet 2019.
Le hacker affirme que sa database contient 500 000 identifiants, avec les noms d’utilisateurs et les mots de passe des clients d’Indonésie et de Thaïlande.
La deuxième base de données a été publiée sur le forum le 28 juillet 2019. Plus conséquente que la première, puisqu’elle contient plus de 3,2 millions d’enregistrements et porte le nom « Sephora 2019/03 – Shopping », Elle serait en fuite depuis le mois de mars 2019.
Pour découvrir ces offres frauduleuses proposées dans le Dark Web, les chercheurs de Group-IB ce sont infiltrés comme hackers dans la communauté fermée du hacking et Ils ont ainsi pu contacter le hacker et obtenir un échantillon des données mises en vente.
Des détails physiques sur les clients aussi en fuites.
Les chercheurs ont constaté dans cet échantillon. les noms d’utilisateurs, leurs mots de passe chiffrés, ainsi que la date d’enregistrement et la dernière activité, l’IP d’enregistrement, la dernière IP en date, le genre, le nom, l’ethnie des utilisateurs. En plus, compte tenu des spécificités d’activité de Sephora, des informations plus sensibles telles que la couleur des yeux, de la peau, des cheveux ou encore les habitudes de maquillage et de soins de la peau sont également incluses.
Il est rare qu’une fuite de données permette d’obtenir autant de détails physiques sur des clients. Ce qui est intéressant c’est que l’ensemble des données est proposé pour seulement 1900 dollars soit environ 1700 euros.
Suite à cette révélation, Sephora s’est exprimée et annonce que les informations personnelles de ses clients online, de Singapour, Malaisie, Indonésie, Thaïlande, Philippines, Hong Kong, Australie et Nouvelle-Zélande sont bel. et bien en fuites. Toutefois, la firme ne précise pas combien de clients sont touchés.
Heureusement, les clients français ou.européens de la firme française ne semblent pas concernés. Dans le cas contraire, Sephora aurait risqué une lourde amende RGPD infligée par la CNIL.
Néanmoins, l’entreprise rassure et affirme qu’aucune information de carte de crédit n’a été dérobée, et qu’il n’y a actuellement, aucune raison de. penser que les. données personnelles ont été exploitées. En outre, elle a contacté des experts externes, qui assurent. qu’aucune faille de sécurité majeure n’a été découverte sur les sites web asiatiques de Sephora.
