Des millions de clients de Hot Topic ont été informés que leurs données personnelles ont été compromises lors d’une violation de données en octobre chez le détaillant américain.
Have I Been Pwned, le service de notification des violations, a déclaré cette semaine qu’il Alerté 57 millions de clients Hot Topic que leurs données avaient été compromises.
Les données volées comprennent des adresses e-mail, des adresses physiques, des numéros de téléphone, des achats, des sexes et des dates de naissance. Selon HIBP, des données partielles de carte de crédit ont également été incluses dans l’atteinte, notamment le type de carte de crédit, les dates d’expiration et les quatre derniers chiffres du numéro de carte.
Hot Topic, qui compte plus de 640 magasins à travers les États-Unis, n’a pas encore confirmé la violation et n’a pas répondu aux multiples demandes de commentaires de TechCrunch.
La violation s’est produite le 19 octobre, selon HIBP, et a été revendiquée par un acteur de la menace opérant sous le pseudonyme de « satanique » le 21 octobre. Dans un message publié sur le forum de cybercriminalité BreachForums, Satanic a affirmé avoir volé 350 millions d’enregistrements d’utilisateurs de Hot Topic et de ses marques affiliées, Box Lunch et Torrid.
Le pirate a d’abord tenté de vendre la base de données pour 20 000 $ et a exigé une rançon de 100 000 $ de Hot Topic pour supprimer les informations, selon un rapport de la société de cybersécurité Rocher de l’Hudson.
Dans le post sur BreachForums, vu par TechCrunch, Satanic propose maintenant la base de données pour 3 500 $.
La nature de l’incident de Sécurité qui a mené à l’atteinte est inconnue. Selon un rapport de Rocher de l’Hudson, l’auteur de menace a peut-être exploité des identifiants volés par le biais d’un logiciel malveillant Infostealer pour voler les identifiants d’une plateforme d’analyse utilisée par Hot Topic pour accéder aux environnements cloud du détaillant.
Il ne semble pas que Hot Topic ait encore informé les clients ou les bureaux des procureurs généraux de l’État de la violation de données.