A marca americana de móveis Lovesac está alertando que sofreu uma data breach que impactou um número não revelado de pessoas, afirmando que dados pessoais foram expostos em um incidente de cybersecurity.
A Lovesac é uma empresa que projeta, fabrica e vende móveis, operando 267 showrooms nos Estados Unidos, com vendas líquidas anuais de US$ 750 milhões.
A marca é mais conhecida por seus sistemas modulares de sofás chamados “sactionals”, além dos seus bean bags chamados “sacs”.
De acordo com os avisos enviados às pessoas afetadas, entre 12 de fevereiro de 2025 e 3 de março de 2025 hackers obtiveram acesso não autorizado aos sistemas internos da empresa e roubaram dados hospedados nesses sistemas.
A Lovesac descobriu a breach em 28 de fevereiro de 2025, o que indica que levou três dias para conter totalmente a situação e bloquear o acesso do threat actor à sua rede.
Os dados roubados incluem nomes completos e outras informações pessoais que não foram detalhadas no modelo de notificação compartilhado com os escritórios do Attorney General.
A empresa não esclareceu se o incidente afeta clientes, funcionários ou contratados, tampouco divulgou o número exato de indivíduos impactados.
Anexado à carta de notificação, os destinatários encontram instruções para se inscrever em um serviço de credit monitoring de 24 meses, oferecido pela Experian, válido até 28 de novembro de 2025.
A companhia informou que, até o momento, não há indícios de uso indevido das informações roubadas, mas recomenda às pessoas afetadas que mantenham vigilância contra tentativas de phishing.
Embora a Lovesac não tenha identificado os atacantes nem mencionado criptografia de dados nas cartas, o grupo de ransomware RansomHub reivindicou o ataque em 3 de março de 2025.
Os threat actors adicionaram a Lovesac em seu extortion portal, anunciando a breach e indicando planos de vazar os dados roubados caso o pagamento do resgate não seja realizado.
Não foi possível confirmar se essa ameaça foi efetivamente cumprida.
A operação de ransomware RansomHub, que atua como ransomware-as-a-service (RaaS), surgiu em fevereiro de 2024 e desde então acumulou uma lista de vítimas de alto perfil, incluindo a empresa de staffing Manpower, a gigante de serviços para petróleo Halliburton, a rede de farmácias Rite Aid, a divisão europeia da Kawasaki, a casa de leilões Christie’s, a operadora de telecom americana Frontier Communications, a ONG de saúde Planned Parenthood e o clube de futebol italiano Bologna Football Club.
A operação de ransomware encerrou suas atividades discretamente em abril de 2025, com muitos de seus afiliados migrando para o grupo DragonForce.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...