Luxottica、7,000万件の情報がオンライン流出後、2021年のデータ侵害を確認

ブログ

ホームページホームページ / ブログ / Luxottica、7,000万件の情報がオンライン流出後、2021年のデータ侵害を確認

Feb 26, 2024

Luxottica、7,000万件の情報がオンライン流出後、2021年のデータ侵害を確認

Luxotticaは、今月ハッキングに関するデータベースが無料で公開された後、パートナーの1社が2021年にデータ侵害に遭い、7,000万人の顧客の個人情報が流出したことを認めた

Luxotticaは、今月データベースがハッキングフォーラムに無料で投稿された後、2021年にパートナーの1社がデータ侵害に遭い、7,000万人の顧客の個人情報が流出したことを認めた。

Luxottica は、世界最大のアイウェア会社、眼鏡、度付きフレームのメーカーであり、Ray-Ban、Oakley、Chanel、Prada、versace、Dolce & Gabbana、Burberry、Giorgio Armani、Michael Kors などの人気ブランドを所有しています。 同社は米国で視覚保険会社 Eyemed も運営しています。

2022年11月、現在は廃止されている「Breached」ハッカーフォーラムのメンバーが、米国とカナダのLuxottica顧客に関連する個人情報の3億件のレコードを含む2021年のデータベースであると主張するものを販売しようとしました。

販売者によると、データベースには電子メールアドレス、姓名、住所、生年月日などの顧客の個人情報が含まれていたという。

このダンプは当時、Breached でプライベートセールに提供されていたため、データが新たな攻撃で盗まれたのか、それとも 2020 年に同社が影響を受けた 2 つの攻撃中に盗まれたのかは明らかではありませんでした。

Luxottica は 2020 年 8 月にデータ侵害を受け、EyeMed と Lenscrafters の患者 829,454 人の個人情報が流出しました。 翌月、Luxottica は再び攻撃を受けました。今回はランサムウェア攻撃で、イタリアと中国での同社の業務が停止されました。

しかし、つい最近では、2023 年 4 月 30 日と 5 月 12 日にデータベース全体がさまざまなハッキング フォーラムで無料で流出し、脅威アクターがデータにアクセスしやすくなりました。

イタリアのサイバーセキュリティ企業D3Labの主力研究者であるアンドレア・ドラゲッティ氏は、流出したデータを分析し、3億500万行、7,440万の一意の電子メールアドレス、260万の一意のドメイン電子メールアドレスが含まれていることをBleepingComputerに認めた。

また、ドラゲッティ氏は、最新のデータベース記録に基づいて、流出日が 2021 年 3 月 16 日であると判断しました。これは、データがこれまで未公開のデータ侵害から発生した可能性が高いことを意味します。

BleepingComputer が公開されたデータについて Luxottica に問い合わせたところ、同社は漏洩したデータが顧客データを保持しているサードパーティ請負業者に影響を与えたセキュリティ インシデントからのものであることを確認しました。

同社は、この事件の調査はまだ進行中であると付け加えた。 ただし、流出したデータには顧客の氏名、メールアドレス、電話番号、住所、生年月日が含まれていることがすでに判明している。

「私たちは、プロアクティブな監視手順を通じて、Luxottica の小売顧客に関連するサードパーティを通じて入手したとされる特定の小売顧客データがオンライン投稿で公開されていることを発見しました。

私たちは直ちにこの事件を FBI とイタリア警察に報告しました。 データが投稿されたウェブサイトの所有者はFBIに逮捕され、ウェブサイトは閉鎖され、捜査が続いている。 イタリアのデータ保護当局にも通知されており、他の通知義務も検討しています。

現在も継続中の調査から、データは主に名前、住所、電話番号、電子メール、生年月日などの顧客の連絡先詳細で構成されていることがわかっています。 このデータには、個人の財務情報、社会保障番号、ログインまたはパスワードのデータ、または顧客の安全を損なうその他の情報は含まれません。

EssilorLuxottica は、自社のシステムが侵害されておらず、ネットワークの安全性が維持されていると確信しています。」 - ルクソティカ

Luxottica の広報担当者は、いつ最初に侵害に気づいたか尋ねると、「2022 年 11 月にダークウェブ上のサードパーティの投稿で初めてこの事件を知りました。」と答えました。

「Have I Been Pwned」(HIBP)データ侵害通知サービスのオーナー、トロイ・ハント氏はBleepingComputerに対し、漏洩したデータには77,093,812個の固有のアカウントが含まれており、そのうちの74%はすでにプラットフォームの記録に残っていると語った。

ハント氏は、HIBPが本日、2021年のLuxotticaデータ侵害に関して、プラットフォームの加入者に32万件以上の侵害通知を送信すると語った。