Luxottica confirma violação de dados de 2021 após informações de 70 milhões vazarem online
22 de Maio de 2023

A Luxottica confirmou que um de seus parceiros sofreu uma violação de dados em 2021 que expôs informações pessoais de 70 milhões de clientes depois que um banco de dados foi disponibilizado gratuitamente em fóruns de hacking neste mês.

A Luxottica é a maior empresa de óculos do mundo, fabricante de molduras e lentes de prescrição, e proprietária de marcas populares como Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce e Gabbana, Burberry, Giorgio Armani, Michael Kors e muitas outras.

A empresa também opera a Eyemed, uma empresa de seguro de visão nos EUA.

Em novembro de 2022, um membro do fórum de hackers "Breached", agora extinto, tentou vender o que ele afirmou ser um banco de dados de 2021 contendo 300 milhões de registros de informações pessoais relacionadas a clientes da Luxottica nos Estados Unidos e no Canadá.

De acordo com o vendedor, o banco de dados continha informações pessoais dos clientes, como endereços de e-mail, nomes e sobrenomes, endereços e data de nascimento.

O despejo foi oferecido para venda privada na época no Breached, então não estava claro se os dados foram roubados em um novo ataque ou durante dois ataques que a empresa sofreu em 2020.

A Luxottica sofreu uma violação de dados em agosto de 2020 que expôs informações pessoais de 829.454 pacientes da EyeMed e da Lenscrafters.

No mês seguinte, a Luxottica sofreu novamente um ataque, desta vez um ataque de ransomware que interrompeu as operações da empresa na Itália e na China.

No entanto, mais recentemente, o banco de dados foi vazado na íntegra gratuitamente em 30 de abril e 12 de maio de 2023, em fóruns de hacking diferentes, tornando os dados muito mais acessíveis para atores mal-intencionados.

Andrea Draghetti, o principal pesquisador da empresa italiana de cibersegurança D3Lab, analisou os dados vazados e confirmou ao BleepingComputer que ele contém 305 milhões de linhas, 74,4 milhões de endereços de e-mail únicos e 2,6 milhões de endereços de e-mail de domínio únicos.

Draghetti também determinou a data de exfiltração como sendo 16 de março de 2021, com base nos registros mais recentes do banco de dados, o que significa que os dados provavelmente originaram de uma violação de dados não divulgada anteriormente.

Depois que o BleepingComputer entrou em contato com a Luxottica sobre os dados publicados, a empresa confirmou que os dados vazados vieram de um incidente de segurança que afetou um contratado terceirizado que detinha dados do cliente.

A empresa acrescentou que a investigação do incidente ainda está em andamento.

No entanto, já determinou que os dados expostos contêm nomes completos dos clientes, e-mails, números de telefone, endereços e datas de nascimento.

Quando perguntado quando eles perceberam a violação, um porta-voz da Luxottica respondeu: "Descobrimos o incidente a partir de uma postagem de terceiros na dark web em novembro de 2022."

Troy Hunt, proprietário do serviço de notificação de violação de dados "Have I Been Pwned" (HIBP), disse ao BleepingComputer que os dados vazados incluem 77.093.812 contas únicas, 74% das quais já estão nos registros da plataforma.

Hunt disse que HIBP enviará mais de 320.000 notificações de uma violação para assinantes da plataforma hoje referente à violação de dados da Luxottica de 2021.

Para verificar se suas informações foram expostas nesta violação, você pode visitar o site HIBP e pesquisar seu endereço de e-mail na página principal, e o site listará todas as violações de dados em que seu endereço de e-mail foi exposto.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...