Superdrug exhorte ses clients en ligne à changer
leur mot de passe après avoir été contacté par des cybercriminels qui
prétendent avoir obtenu toute une série de données personnelles appartenant à
20 000 clients de cette chaîne de magasins britannique de produits de santé et
de beauté, rapporte le Huffington Post. Les données personnelles contiendraient
Superdrug exhorte ses clients en ligne à changer
leur mot de passe après avoir été contacté par des cybercriminels qui
prétendent avoir obtenu toute une série de données personnelles appartenant à
20 000 clients de cette chaîne de magasins britannique de produits de santé et
de beauté, rapporte le Huffington Post.
Les données personnelles contiendraient des
noms, des adresses, des dates de naissance et des numéros de téléphone.
L’entreprise affirme cependant sur Twitter
que les informations de paiement n’ont pas été compromises.
« Le soir du 20 août, nous avons été contactés
par des pirates informatiques qui ont affirmé avoir obtenu un certain nombre
d’informations sur les achats en ligne de nos clients », lit-on dans le
courrier électronique de la société. Pour prouver l’authenticité de
l’infraction, les criminels ont envoyé une partie du « butin » présumé à
l’entreprise.
Cependant, la société a déclaré que des
conseillers indépendants en sécurité informatique n’ont trouvé aucune preuve de
violation de ses systèmes ou de « téléchargement ou extraction de données de
masse ».
« Ils [les conseillers en sécurité
informatique] ont également confirmé que les 386 comptes partagés par le
cybercriminel comme preuve de l’attaque étaient des comptes obtenus lors de
précédents piratages n’ayant pas de rapport avec Superdrug », comme
indiqué dans le courrier électronique de la société.
« Nous pensons que le pirate a obtenu les
adresses e-mail et les mots de passe des clients sur d’autres sites web, puis a
utilisé ces informations pour accéder à des comptes sur notre propre site
Web », a déclaré The Guardian. Ce type d’attaque, connu sous le nom de «
credential stuffing » repose sur le fait que les internautes utilisent souvent
le même mot de passe
pour plusieurs
comptes en ligne.
Superdrug a contacté la police et Action Fraud,
qui supervise les cas de fraude et de cybercriminalité. Selon ZDNet, les pirates auraient également tenté de faire
payer la société en échange de leur silence.
Il a par ailleurs également été signalé que
lorsque les clients de Superdrug se sont rendus sur le site pour changer leurs
mots de passe, leurs tentatives ont été entravées par une erreur de
« serveur interne ». La société a reconnu le problème, déclarant que
les difficultés de connexion étaient dues au nombre de personnes qui se
connectaient au site web et s’excusait pour tout désagrément causé.