Have I Been Pwned prévient qu’une prétendue violation de données a exposé les informations personnelles de 56 904 909 comptes de clients Hot Topic, Box Lunch et Torrid.
Hot Topic est une chaîne de vente au détail américaine spécialisée dans les vêtements, accessoires et produits musicaux sous licence liés à la contre-culture. La société exploite plus de 640 magasins aux États-Unis et au Canada, principalement situés dans des centres commerciaux, et dispose d’une vaste clientèle.
Selon HIBPles détails exposés incluent les noms complets, les adresses e-mail, les dates de naissance, les numéros de téléphone, les adresses physiques, l’historique des achats et les données partielles de carte de crédit des clients Hot Topic, Box Lunch et Torrid.
L’incident de sécurité a été initialement revendiqué sur BreachForums par un acteur malveillant nommé « Satanic » le 21 octobre 2024. L’acteur malveillant a affirmé avoir volé 350 millions d’enregistrements d’utilisateurs de Hot Topic et de ses marques associées, Box Lunch et Torrid.
« Satanic » tentait de vendre la base de données pour 20 000 $ tout en exigeant également le paiement d’une rançon de 100 000 $ à Hot Topic pour supprimer la liste des forums.
À l’époque, BleepingComputer avait contacté Hot Topic pour s’enquérir de l’authenticité des données, mais n’avait reçu aucune réponse.
Un rapport de HudsonRock publié le 23 octobre suggère que la violation pourrait provenir d’une infection par un logiciel malveillant de type voleur d’informations qui a volé les informations d’identification d’un service d’unification de données utilisé par Hot Topic.
Bien que Hot Topic soit resté silencieux et qu’aucune notification n’ait été envoyée aux clients potentiellement concernés, la société d’analyse de données Atlas Privacy signalé la semaine dernière que la base de données de 730 Go impacte en réalité 54 millions de clients.
De plus, Atlas a précisé que l’ensemble de données contient 25 millions de numéros de cartes de crédit cryptés avec un chiffrement faible, facile à déchiffrer à l’aide d’ordinateurs modernes.
Bien qu’Atlas ne soit pas sûr à 100 % que la base de données appartienne à Hot Topic, il a noté que près de la moitié de toutes les adresses e-mail n’avaient pas été vues lors de violations précédentes, confirmant ainsi la légitimité des affirmations de l’acteur malveillant.
Altas affirme que la violation semble s’être produite le 19 octobre et que les données s’étendent de 2011 à cette date.
L’entreprise a créer un site qui permet aux clients Hot Topic de vérifier si leur adresse e-mail ou leur numéro de téléphone est exposé dans la fuite de données.
Pendant ce temps, l’auteur de la menace continue de vendre la base de données, mais à un prix inférieur à 4 000 dollars.
Les clients Hot Topic potentiellement concernés doivent rester vigilants face aux attaques de phishing, surveiller de près leurs comptes financiers pour détecter toute activité suspecte et modifier leurs mots de passe sur chaque plate-forme sur laquelle ils utilisent les mêmes informations d’identification.
BleepingComputer a de nouveau contacté Hot Topic pour demander un commentaire, mais nous n’avons pas reçu de réponse au moment de la publication.
