Luxoticca, el grupo empresarial propietario de marcas tan conocidas como Ray-Ban y Oakley, además de Lenscrafters, Oliver Peoples y SunglassHut, ha confirmado que uno de sus socios experimentó una brecha de datos en 2021, dando como resultado más de 70 millones de registros de clientes expuestos.
La firma ha reconocido la violación de datos justo después de que un foro de piratería publicara la base de datos.
En noviembre un miembro del foro Breached, que ya ha sido cerrado, trató de vender una base de datos de 2021 con 300 millones de registros de información personal vinculada a clientes de Luxottica en EE.UU. y Canadá.
El ciberdelincuente que trató de hacer negocio con la base de datos señalaba que esta contenía direcciones de correo electrónico, nombre y apellidos, direcciones físicas y fechas de nacimiento. Luxoticca ha confirmado esto mediante un comunicado.
El grupo empresarial también asegura que no se ha filtrado información financiera de personas, números de seguros sociales, datos de inicio de sesión o contraseña u "otra información que pueda comprometer la seguridad de nuestros clientes".
“Descubrimos a través de nuestros procedimientos de monitoreo proactivo que ciertos datos de clientes minoristas, supuestamente obtenidos a través de un tercero relacionado con los clientes minoristas de Luxottica, se publicaron en un post online", afirman.
"Inmediatamente informamos del incidente al FBI ya la policía italiana. El propietario del sitio web donde se publicaron los datos fue arrestado por el FBI, el sitio web fue cerrado y la investigación está en curso. La autoridad italiana de protección de datos también ha sido notificada y estamos considerando otras obligaciones de notificación", añaden.
Al ser preguntados sobre por qué no avisaron antes de la violación de datos un portavoz de la casa ha comentado que se enteraron del incidente por primera vez al ver el anuncio en la dark web en noviembre del año pasado.
Ocurrió en marzo de 2021
Andrea Draghetti , el principal investigador de la empresa italiana de ciberseguridad D3Lab, ha analizado los datos filtrados y confirmado a la web de información sobre ciberseguridad BleepingComputer que contiene 305 millones de líneas, 74,4 millones de direcciones de correo electrónico únicas y 2,6 millones de direcciones de correo electrónico de dominio únicas.
Draghetti también ha determinado que la fecha de exfiltración de datos era el 16 de marzo de 2021, según los registros más recientes, lo que significaría que la información personal se extrajo a partir de una violación de datos no revelada previamente.
Esta compañía también cuenta con la licencia correspondiente para fabricar las gafas de sol de Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgi Armani, Michel Kors y muchas otras.