Une cyberattaque a visé l’enseigne nordiste Kiabi le 7 janvier dernier, entraînant le vol de données sensibles de 20 000 clients. L’entreprise de prêt-à-porter a révélé que des hackers ont pu accéder à des informations personnelles, notamment des IBAN, ainsi que des noms, prénoms et dates de naissance.
Détails de la cyberattaque
Lors de l’attaque, les équipes du site de seconde main de Kiabi ont détecté une méthode connue sous le nom de « credential stuffing ». Cette technique consiste à utiliser des identifiants volés provenant d’autres fuites de données pour tenter d’accéder aux comptes clients.
Les attaquants ont réussi à obtenir les coordonnées de 20 000 clients, ainsi que leur IBAN lorsque celui-ci était renseigné. Toutefois, le relevé d’identité bancaire (RIB), qui comprend des informations additionnelles, n’a pas été compromis.
Mesures prises par Kiabi
En réponse à cette faille de sécurité, Kiabi a mis en place une nouvelle fonctionnalité de masquage des IBAN pour prévenir toute récupération non autorisée de ces données. De plus, tous les mots de passe des clients concernés ont été réinitialisés.
Information aux clients
Kiabi a informé tous les clients affectés par cette attaque informatique. Il est important de noter que seul le site de seconde main a été touché. Ce dernier permet aux utilisateurs d’acheter ou de revendre des vêtements d’occasion, ce qui explique pourquoi certains clients avaient renseigné leur IBAN.