O Have I Been Pwned alerta que um suposto vazamento de dados expôs informações pessoais de 56.904.909 contas de clientes da Hot Topic, Box Lunch e Torrid.
A Hot Topic é uma rede de varejo americana especializada em roupas relacionadas à contracultura, acessórios e mercadorias licenciadas de música.
A empresa opera mais de 640 lojas nos Estados Unidos e Canadá, localizadas principalmente em shoppings, e possui uma vasta base de clientes.
De acordo com o HIBP, os detalhes expostos incluem nomes completos, endereços de e-mail, datas de nascimento, números de telefone, endereços físicos, histórico de compras e dados de cartão de crédito parciais para clientes da Hot Topic, Box Lunch e Torrid.
O incidente de segurança foi inicialmente reivindicado no BreachForums por um ator de ameaça chamado "Satanic" em 21 de outubro de 2024.
O ator de ameaça alegou ter roubado 350 milhões de registros de usuários da Hot Topic e suas marcas relacionadas, Box Lunch e Torrid.
"Satanic" estava tentando vender o banco de dados por $20.000, além de exigir um pagamento de resgate de $100.000 da Hot Topic para remover a listagem dos fóruns.
Um relatório da HudsonRock publicado em 23 de outubro sugeriu que o vazamento pode ter se originado de uma infecção por malware de roubo de informações que roubou credenciais de um serviço de unificação de dados usado pela Hot Topic.
Embora a Hot Topic tenha permanecido em silêncio e nenhuma notificação tenha sido enviada aos clientes potencialmente impactados, a firma de análise de dados Atlas Privacy relatou na última semana que o banco de dados de 730GB impacta, na verdade, 54 milhões de clientes.
Além disso, a Atlas esclareceu que o conjunto de dados contém 25 milhões de números de cartão de crédito criptografados com uma cifra fraca, fácil de quebrar usando computadores modernos.
Embora a Atlas não esteja 100% certa de que o banco de dados pertença à Hot Topic, ela observou que quase metade de todos os endereços de e-mail não foram vistos em vazamentos anteriores, apoiando ainda mais a legitimidade das reivindicações do ator de ameaça.
A Atlas diz que o vazamento parece ter ocorrido em 19 de outubro, e os dados se estendem de 2011 até essa data.
A firma configurou um site que permite aos clientes da Hot Topic verificar se seu endereço de e-mail ou número de telefone está exposto no vazamento de dados.
Enquanto isso, o ator de ameaça continua a vender o banco de dados, embora por um preço mais baixo de $4.000.
Clientes da Hot Topic potencialmente impactados devem permanecer vigilantes quanto a ataques de phishing, monitorar suas contas financeiras de perto para atividades suspeitas e alterar suas senhas em todas as plataformas onde utilizam as mesmas credenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...