0
0
A fabricante italiana de óculos, além distribuidora e varejista de marcas de luxo, confirmou que um de seus parceiros sofreu uma violação de dados em 2021 que expôs as informações pessoais de 70 milhões de clientes
A Luxottica, fabricante italiana de óculos, que também distribui marcas de luxo como Ray-Ban, Oakley, Chanel, Prada, Versace, Giorgio Armani, Miu-Miu, Valentino, Dolce e Gabbana, Michael Kors, entre outras, confirmou na sexta-feira passada, 19, que um de seus parceiros sofreu uma violação de dados em 2021 que expôs as informações pessoais de 70 milhões de clientes. A confirmação foi feita depois que um banco de dados foi publicado este mês gratuitamente em fóruns de hackers.
No Brasil — que não foi afetado pelo ataque, segundo a empresa —, a Luxottica possui uma fábrica em Campinas, no interior de São Paulo, e também atua no varejo com as Óticas Carol.
Em novembro do ano passado, um membro do agora extinto fórum de hackers clandestino Breached.totentou vender o que alegou ser um banco de dados de 2021 contendo 300 milhões de registros de informações pessoais relacionadas a clientes da Luxottica nos Estados Unidos e Canadá. Segundo o “vendedor”, o banco de dados continha informações pessoais dos clientes, como endereços de e-mail, nomes e sobrenomes, endereços e data de nascimento.
No entanto, a empresa não deixou claro se o dump, oferecido para venda, se refere aos dados roubados em um novo ataque ou a dois ataques de ransomware pelos quais a empresa foi afetada em 2020. A Luxottica sofreu uma violação de dados em agosto de 2020 que expôs as informações pessoais de 829.454 pacientes da EyeMed, operadora de seguro de visão controlada pela empresa, e Lenscrafters, outra varejista do grupo. No mês seguinte, a Luxottica voltou a sofrer um ataque, desta vez um ataque de ransomware que encerrou as operações da empresa na Itália e na China.
No ano passado, o Departamento de Serviços Financeiros do Estado de Nova York já havia multado a Eyemed em US$ 4,5 milhões ao Estado de Nova York por violações do Regulamento de Segurança Cibernética da DFS (23 NYCRR Parte 500) que contribuiu para a exposição de centenas de milhares de dados de saúde pessoais confidenciais, incluindo dados relativos de menores de idade.
No mais recentemente vazamento, o banco de dados foi exposto totalmente gratuito em 30 de abril e 12 deste mês, em diferentes fóruns de hackers, tornando os dados muito mais acessíveis aos operadores de ameaças. O site BleepingComputer afirmou que o pesquisador da empresa italiana de segurança cibernética D3Lab, Andrea Draghetti, confirmou que o banco de dados contém 305 milhões de linhas, 74,4 milhões de endereços de e-mail exclusivos e 2,6 milhões de endereços de e-mail de domínio único.
Segundo o site, ao contatar a Luxottica sobre o vazamento dos dados, a empresa confirmou que os dados expostos vieram de um incidente de segurança que afetou um parceiro terceirizado que mantinha os dados dos clientes.
A empresa acrescentou que sua investigação sobre o incidente ainda está em andamento. No entanto, já determinou que os dados expostos contêm nomes completos de clientes, e-mails, números de telefone, endereços e datas de nascimento.
FONTE: CISO ADVISOR