La marque de vêtements de plein air The North Face a été frappée par une attaque à grande échelle attaque par credential stuffing où les pirates ont utilisé les noms d’utilisateur et les mots de passe d’autres violations de données pour accéder aux comptes clients.
Selon un avis de violation de données (s’ouvre dans un nouvel onglet) de la société vue par BipOrdinateur (s’ouvre dans un nouvel onglet)environ 194 905 comptes clients ont été piratés.
Alors que l’attaque a commencé fin juillet de cette année, les administrateurs du site Web de The North Face ont d’abord détecté une activité inhabituelle le 11 août et ont réussi à l’arrêter le 19 août.
Les informations client exposées mais pas les détails de paiement
À la suite d’une enquête sur l’affaire, The North Face a découvert que les pirates responsables étaient en mesure d’accéder aux noms complets des clients, à l’historique des achats, aux adresses de facturation et d’expédition, aux numéros de téléphone, aux dates de création de compte, aux sexes et aux enregistrements de récompenses XPLR Pass.
Heureusement, la société ne stocke pas les détails de paiement tels que les informations de carte de crédit et de débit sur son site, de sorte que les attaquants n’ont pas pu accéder à ces informations.
Dans un avis de violation de données envoyé aux clients concernés, la société mère de The North Face, VF Corporation (anciennement Vanity Fair Mills), a expliqué qu’elle ne conserve qu’un « jeton » lié aux cartes de paiement des clients sur son site tandis que son processeur de paiement tiers conserve les utilisateurs. ‘ détails de la carte.
Dans le même temps, tous les mots de passe des utilisateurs ont été réinitialisés et leurs jetons de carte de paiement auxquels les pirates ont eu accès ont été effacés. La prochaine fois que les clients souhaiteront acheter un article sur le site Web de The North Face, ils devront saisir un nouveau mot de passe et ressaisir leurs informations de paiement.
Que faire si vous êtes un client North Face concerné ?
Les clients North Face concernés devront choisir un nouveau mot de passe pour leurs comptes et celui-ci doit être à la fois fort et unique. Bien que cela puisse être fait à l’aide d’un générateur de mot de passe, de nombreux meilleurs gestionnaires de mots de passe inclure également cette capacité.
Étant donné que les noms et numéros de téléphone des clients ont été exposés, vous voudrez peut-être également faire très attention lorsque vous vérifiez votre boîte de réception ou répondez à votre téléphone pour le moment. En effet, les pirates responsables peuvent tenter de lancer d’autres attaques en utilisant les informations qu’ils ont obtenues sur le site Web de The North Face.
The North Face recommande également aux utilisateurs de surveiller leurs comptes pour toute activité suspecte. Cependant, la société ne fournit pas un accès gratuit au meilleurs services d’usurpation d’identité en ce moment. Néanmoins, cela peut valoir la peine de s’inscrire à Norton Life Lock, Garde d’identité ou un service similaire juste pour être du bon côté.
Étonnamment, c’est en fait la deuxième fois que The North Face subit une attaque de credential stuffing. Le dernier s’est produit en novembre 2020 et la société a pris des mesures similaires à ce moment-là.