Fuite de passeports pour les employés de Lush ?

Posted On 02 Fév 2024

La marque de cosmétiques éthique Lush face à un piratage informatique. Le hacker malveillant annonce l’exfiltration de documents sensibles internes.

NOS ACTUALITÉS, PAR COURRIEL

Recevez gratuitement, le samedi, LES ACTUS ZATAZ de la semaine écoulée.

Le pirate informatique Akira était resté dans l’ombre du darkweb, fourbissant ses armes et orchestrant de nombreuses cyberattaques sans pour autant faire de bruit dans les médias. ZATAZ avait été le premier à vous parler de ce nouvel arrivant, en avril 2023 [Voir].

Un pirate à l’approche graphique, pour son blog, différente des autres groupes. Il propose un terminal DOS à l’ancienne pour accéder aux dizaines de victimes publiques qu’il a déjà pu réaliser dans ses infiltrations et exfiltrations de données. Les fichiers copiés sont diffusés, ensuite, via le P2P.

212 victimes « officielles » depuis avril 2023 dont Café Soluble, le Zoo de Toronto, Nissan Australie, des casinos, hôtels et établissements scolaires.

La menace Akira : un pirate informatique pas comme les autres

Fondée en 1995 et basée à Poole, au Royaume-Uni, Lush est un magasin de cosmétiques spécialisé dans la vente au détail de bombes de bain, de produits capillaires, de maquillage, et plus encore. 110 Go de leurs fichiers seraient prêts à être téléchargés. « Il y a beaucoup de documents personnels, notamment des passeports, » soulignent les pirates maîtres-chanteurs. Des informations comptables, financières, fiscales, des projets, des informations sur les clients seraient présents dans les informations copiées par le hacker malveillant.

Bref, payer ne serait que retarder la diffusion des informations que les pirates ont déjà trié et analysé à la suite de cette cyberattaque sur Lush.

Le groupe Akira avait été perturbé, en juillet 2023, avec la diffusion d’un outil permettant de déchiffrer les fichiers qu’ils avaient pu prendre en otage. A première vue, depuis, ils ont su corriger leurs erreurs !

Pour en savoir plus sur la protection de vos données, cliquez ici et partagez votre opinion sur la sécurité des données dans les commentaires.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.