Feb 26, 2024
Luxottica confirma violação de dados em 2021 após informações de 70 milhões de vazamentos online
A Luxottica confirmou que um de seus parceiros sofreu uma violação de dados em 2021 que expôs as informações pessoais de 70 milhões de clientes depois que um banco de dados foi publicado este mês gratuitamente sobre hackers
A Luxottica confirmou que um de seus parceiros sofreu uma violação de dados em 2021 que expôs as informações pessoais de 70 milhões de clientes depois que um banco de dados foi publicado gratuitamente este mês em fóruns de hackers.
Luxottica é a maior empresa mundial de óculos, fabricante de óculos e armações de prescrição, e proprietária de marcas populares como Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgio Armani, Michael Kors e muitas outras. A empresa também opera a Eyemed, uma seguradora de visão nos EUA.
Em novembro de 2022, um membro do agora extinto fórum de hackers “Breached” tentou vender o que alegou ser um banco de dados de 2021 contendo 300 milhões de registros de informações pessoais relacionadas a clientes da Luxottica nos Estados Unidos e Canadá.
Segundo o vendedor, o banco de dados continha informações pessoais dos clientes, como endereços de e-mail, nome e sobrenome, endereços e data de nascimento.
O dump foi oferecido para venda privada na época no Breached, então não ficou claro se os dados foram roubados em um novo ataque ou durante dois ataques pelos quais a empresa foi impactada em 2020.
A Luxottica sofreu uma violação de dados em agosto de 2020 que expôs as informações pessoais de 829.454 pacientes EyeMed e Lenscrafters. No mês seguinte, a Luxottica sofreu novamente um ataque, desta vez um ataque de ransomware que encerrou as operações da empresa na Itália e na China.
No entanto, mais recentemente, o banco de dados vazou integralmente gratuitamente em 30 de abril e 12 de maio de 2023, em diferentes fóruns de hackers, tornando os dados muito mais acessíveis aos atores da ameaça.
Andrea Draghetti, pesquisadora líder da empresa italiana de segurança cibernética D3Lab, analisou os dados vazados e confirmou ao BleepingComputer que eles contêm 305 milhões de linhas, 74,4 milhões de endereços de e-mail exclusivos e 2,6 milhões de endereços de e-mail de domínio exclusivo.
Draghetti também determinou que a data de exfiltração seria 16 de março de 2021, com base nos registros mais recentes do banco de dados, o que significava que os dados provavelmente se originaram de uma violação de dados anteriormente não divulgada.
Depois que a BleepingComputer entrou em contato com a Luxottica sobre os dados publicados, a empresa confirmou que os dados vazados vieram de um incidente de segurança que afetou um terceirizado que detinha dados de clientes.
A empresa acrescentou que a investigação do incidente ainda está em andamento. No entanto, já foi determinado que os dados expostos contêm nomes completos de clientes, e-mails, números de telefone, endereços e datas de nascimento.
“Descobrimos, através dos nossos procedimentos de monitorização proativa, que determinados dados de clientes retalhistas, alegadamente obtidos através de terceiros relacionados com clientes retalhistas da Luxottica, foram publicados numa publicação online.
Relatamos imediatamente o incidente ao FBI e à polícia italiana. O proprietário do site onde os dados foram publicados foi preso pelo FBI, o site foi encerrado e a investigação continua. A autoridade italiana de proteção de dados também foi notificada e estamos a considerar outras obrigações de notificação.
A partir da nossa investigação, que ainda está em andamento, sabemos até agora que os dados consistem principalmente em detalhes de contato do cliente, incluindo nomes, endereços, números de telefone, e-mails e datas de nascimento. Os dados não incluem informações financeiras, números de segurança social, dados de login ou senha de indivíduos ou outras informações que possam comprometer a segurança de nossos clientes.
A EssilorLuxottica continua confiante de que os seus sistemas não foram violados e que a sua rede permanece segura.” - Luxottica
Quando questionado sobre quando perceberam a violação pela primeira vez, um porta-voz da Luxottica respondeu: “Soubemos do incidente pela primeira vez por meio de uma postagem de terceiros na dark web em novembro de 2022”.
Troy Hunt, proprietário do serviço de notificação de violação de dados “Have I Been Pwned” (HIBP), disse ao BleepingComputer que os dados vazados incluem 77.093.812 contas únicas, 74% das quais já estão nos registros da plataforma.
Hunt nos disse que o HIBP enviará hoje mais de 320.000 avisos de violação aos assinantes da plataforma relacionados à violação de dados da Luxottica em 2021.