Luxottica telah mengonfirmasi salah satu mitranya mengalami pelanggaran data pada tahun 2021 yang mengungkap informasi pribadi 70 juta pelanggan setelah basis data diposting bulan ini secara gratis di forum peretasan.
Luxottica adalah perusahaan kacamata, kacamata, dan pembuat bingkai resep terbesar di dunia, dan pemilik merek populer seperti Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgio Armani, Michael Kors, dan banyak lainnya. Perusahaan juga mengoperasikan Eyemed, sebuah perusahaan asuransi visi di AS.
Pada November 2022, anggota forum peretas “Breached” yang sekarang sudah tidak berfungsi mencoba menjual apa yang dia klaim sebagai basis data 2021 yang berisi 300 juta catatan informasi pribadi terkait pelanggan Luxottica di Amerika Serikat dan Kanada.
Menurut penjual, database berisi informasi pribadi pelanggan, seperti alamat email, nama depan dan belakang, alamat, dan tanggal lahir.
Dump itu ditawarkan untuk penjualan pribadi pada saat Melanggar, jadi tidak jelas apakah datanya dicuri dalam serangan baru atau selama dua serangan yang terkena dampak perusahaan pada tahun 2020.
Luxottica mengalami pelanggaran data pada Agustus 2020 yang mengungkap informasi pribadi 829.454 pasien EyeMed dan Lenscrafters. Bulan berikutnya, Luxottica kembali mengalami serangan, kali ini serangan ransomware yang menutup operasi perusahaan di Italia dan China.
Namun, baru-baru ini, database bocor secara keseluruhan secara gratis pada tanggal 30 April dan 12 Mei 2023, di berbagai forum peretasan, membuat data tersebut jauh lebih mudah diakses oleh pelaku ancaman.
Andrea Draghettipeneliti terkemuka dari perusahaan cybersecurity Italia D3Lab, menganalisis data yang bocor dan mengonfirmasi ke BleepingComputer bahwa data tersebut berisi 305 juta baris, 74,4 juta alamat email unik, dan 2,6 juta alamat email domain unik.
Draghetti juga menentukan tanggal eksfiltrasi menjadi 16 Maret 2021, berdasarkan catatan database terbaru, yang berarti bahwa data tersebut kemungkinan berasal dari pelanggaran data yang sebelumnya dirahasiakan.
Luxottica mengkonfirmasi pelanggaran baru
Setelah BleepingComputer menghubungi Luxottica tentang data yang dipublikasikan, perusahaan mengonfirmasi bahwa data yang bocor berasal dari insiden keamanan yang berdampak pada kontraktor pihak ketiga yang menyimpan data pelanggan.
Perusahaan menambahkan bahwa penyelidikan atas insiden tersebut masih berlangsung. Namun, sudah ditentukan bahwa data yang terekspos berisi nama lengkap pelanggan, email, nomor telepon, alamat, dan tanggal lahir.
“Kami menemukan melalui prosedur pemantauan proaktif kami bahwa data pelanggan ritel tertentu, yang diduga diperoleh melalui pihak ketiga yang terkait dengan pelanggan ritel Luxottica, dipublikasikan dalam sebuah postingan online.
Kami segera melaporkan kejadian tersebut ke FBI dan Kepolisian Italia. Pemilik situs tempat data diposting telah ditangkap oleh FBI, situs tersebut ditutup dan penyelidikan sedang berlangsung. Otoritas perlindungan data Italia juga telah diberitahu dan kami sedang mempertimbangkan kewajiban pemberitahuan lainnya.
Dari penyelidikan kami, yang masih berlangsung, kami mengetahui sejauh ini bahwa data utamanya terdiri dari detail kontak pelanggan termasuk nama, alamat, nomor telepon, email, dan tanggal lahir. Data tersebut tidak termasuk informasi keuangan individu, nomor jaminan sosial, data login atau kata sandi, atau informasi lain yang dapat membahayakan keselamatan pelanggan kami.
EssilorLuxottica tetap yakin bahwa sistemnya tidak dibobol dan jaringannya tetap aman.” – Luxottica
Saat ditanya kapan mereka pertama kali menyadari pelanggaran tersebut, juru bicara Luxottica menjawab: “Kami pertama kali mengetahui insiden tersebut dari postingan pihak ketiga di web gelap pada November 2022.”
Perburuan Troyapemilik “Sudahkah Saya Dipecat” (HIBP) layanan pemberitahuan pelanggaran data, mengatakan kepada BleepingComputer bahwa data yang bocor mencakup 77.093.812 akun unik, 74% di antaranya sudah ada dalam catatan platform.
Hunt memberi tahu kami bahwa HIBP akan mengirimkan lebih dari 320.000 pemberitahuan tentang pelanggaran kepada pelanggan platform hari ini terkait pelanggaran data Luxottica 2021.
Untuk memeriksa apakah informasi Anda terungkap dalam pelanggaran ini, Anda dapat mengunjungi situs HIBP dan mencari alamat email Anda di halaman utama, dan situs tersebut akan mencantumkan semua pelanggaran data yang alamat email Anda terungkap.
