Superdrug exhorte ses clients en ligne à changer leur mot de passe après avoir été contacté par des cybercriminels qui prétendent avoir obtenu toute une série de données personnelles appartenant à 20 000 clients de cette chaîne de magasins britannique de produits de santé et de beauté, rapporte le Huffington Post.
Les données personnelles contiendraient des noms, des adresses, des dates de naissance et des numéros de téléphone. L'entreprise affirme cependant sur Twitter que les informations de paiement n'ont pas été compromises.
« Le soir du 20 août, nous avons été contactés par des pirates informatiques qui ont affirmé avoir obtenu un certain nombre d’informations sur les achats en ligne de nos clients », lit-on dans le courrier électronique de la société. Pour prouver l'authenticité de l'infraction, les criminels ont envoyé une partie du « butin » présumé à l'entreprise.
Cependant, la société a déclaré que des conseillers indépendants en sécurité informatique n’ont trouvé aucune preuve de violation de ses systèmes ou de « téléchargement ou extraction de données de masse ».
« Ils [les conseillers en sécurité informatique] ont également confirmé que les 386 comptes partagés par le cybercriminel comme preuve de l’attaque étaient des comptes obtenus lors de précédents piratages n’ayant pas de rapport avec Superdrug », comme indiqué dans le courrier électronique de la société.
« Nous pensons que le pirate a obtenu les adresses e-mail et les mots de passe des clients sur d'autres sites Web, puis a utilisé ces informations pour accéder à des comptes sur notre propre site Web », a déclaré The Guardian. Ce type d'attaque, connu sous le nom de « credential stuffing » repose sur le fait que les internautes utilisent souvent le même mot de passe pour plusieurs comptes en ligne.
Superdrug a contacté la police et Action Fraud, qui supervise les cas de fraude et de cybercriminalité. Selon ZDNet, les pirates auraient également tenté de faire payer la société en échange de leur silence.
Il a par ailleurs également été signalé que lorsque les clients de Superdrug se sont rendus sur le site pour changer leurs mots de passe, leurs tentatives ont été entravées par une erreur de « serveur interne ». La société a reconnu le problème, déclarant que les difficultés de connexion étaient dues au nombre de personnes qui se connectaient au site web et s’excusait pour tout désagrément causé.