Recevez chaque jour toute l'actualité du numérique

x

La marque de prêt-à-porter J.Crew victime d'une fuite de données

Vu ailleurs La marque américaine de mode a annoncé cette semaine que son site web a été victime d’un piratage de ses données clients. J.Crew a notifié la cyberattaque auprès d’une juridiction californienne, mais reste discrète sur le nombre de clients touchés.
Twitter Facebook Linkedin Flipboard Email
×

La marque de prêt-à-porter J.Crew victime d'une fuite de données
La marque de prêt-à-porter J.Crew victime d'une fuite de données © Raysonho @ Open Grid Scheduler / Grid Engine / Wikedia Commons

Des clients de la marque de prêt-à-porter américaine J.Crew ont vu leurs données volées par un malfaiteur. La cyberattaque, qui vient d'être révélée, a fait l’objet d’une plainte pour violation de données auprès d’une juridiction californienne le 2 mars 2020. Elle se serait produite en avril 2019. Le nombre de clients concernés n’est pas précisé, mais l’entreprise a indiqué qu'il serait inférieur à 10 000, et qu'ils sont situés exclusivement aux Etats-Unis.

 

La société, dont le siège social se trouve à New York, se trouve dans l’obligation de notifier cette violation de données en Californie : la loi de cet Etat contraint en effet les entreprises à émettre une notification de violation de sécurité si celle-ci affecte plus de 500 résidents californiens. La principale interrogation sur cette fuite de données porte néanmoins sur le délai – près d'un an – qu'il a fallu à J. Crew pour engager la procédure.

 

Un mode baptisé credential stuffing

J.Crew a précisé que ces données pourraient concerner des informations de connexion, dont des e-mails et mots de passe, ainsi que les quatre derniers chiffres des numéros de carte de crédit enregistrés par les consommateurs, les adresses de facturation, les numéros de commande, les numéros de confirmation d'expédition et le suivi de ces commandes. Les comptes clients concernés ont été désactivés. La société conseille aux clients de réinitialiser et de changer leur mot de passe, y compris pour tout autre compte où le même mot de passe est utilisé.

 

Selon un porte-parole cité par Techcrunch, ce piratage informatique résulterait d’une attaque de type credential stuffing, qui consiste à récupérer des informations de connexions volées sur Internet et de les tester sur d’autres sites web pour accéder aux autres comptes de ces mêmes utilisateurs. D'après un rapport IBM publié l'année dernière, le coût total d’une violation de données est de 3,92 millions de dollars en moyenne.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media