Le détaillant de produits de beauté japonais Acro blâme le piratage d’un tiers pour la violation de 100 000 cartes de paiement

Une violation de données révélée par une société de commerce électronique japonaise a révélé les détails de plus de 100 000 cartes de paiement.

Dans un avis de violation de données (en japonais), le détaillant de produits de beauté Acro a révélé que les clients de deux de ses quatre sites Web de produits de beauté ont été touchés par l’exploitation d’une vulnérabilité chez un fournisseur tiers de traitement des paiements.

L’attaque, a-t-il ajouté, a compromis les données relatives à 89 295 cartes de paiement utilisées pour payer des marchandises sur le Trois Cosmétiques domaine et 103 935 cartes utilisées sur son Amplitude site.

Les victimes incluent potentiellement toute personne ayant effectué des achats sur l’un des deux sites entre le 21 mai 2020 et le 18 août 2021.

Les données volées comprenaient apparemment les noms des titulaires de carte, les numéros de carte de paiement, les dates d’expiration et les codes de sécurité.

Il est également possible que certains noms d’utilisateur et mots de passe aient été divulgués, a déclaré Acro.

Chronologie

Une chronologie de la violation de données Acro et de l’enquête qui s’ensuit commence par des soupçons de compromission le 20 août 2021, suivis de la mise hors ligne des quatre sites de l’entreprise le 21 août 2021.

Une enquête indépendante a débuté le 24 août et a établi certains détails sur la fuite le 22 octobre.

La violation a ensuite été signalée aux forces de l’ordre et à la Commission japonaise de protection des informations personnelles.

VOUS POURRIEZ AUSSI AIMER L’extension Chrome Skype avec 9 millions d’installations révèle une fuite d’informations sur l’utilisateur

Le détaillant a déclaré qu’il avait commencé à informer les clients concernés par e-mail à partir du 24 février. Les victimes potentielles ont été invitées à surveiller leurs états financiers pour détecter toute activité suspecte et à réinitialiser les mots de passe sur les comptes en ligne vulnérables.

Acro a présenté ses excuses aux clients pour la violation et a promis de renforcer sa cybersécurité sur la base des conclusions de l’enquête, notamment en relançant ses sites Web et en prenant des mesures pour empêcher les connexions non autorisées.

Il a déclaré qu’il travaillait également avec les sociétés de cartes de crédit pour surveiller en permanence les transactions et empêcher toute utilisation frauduleuse.