Luxottica ha confermato che i dati di oltre 70 milioni di utenti pubblicati online derivano dall’accesso ai sistemi di un partner esterno. Il database era stato messo in vendita sul forum Breached (chiuso a fine marzo) nel mese di novembre 2022. Il ricercatore italiano Andrea Draghetti ha scoperto che i dati sono ora accessibili a tutti.
Oltre 74 milioni di indirizzi email
Luxottica è il principale produttore mondiale di montature per occhiali da vista e da sole. Possiede i marchi Ray-Ban, Oakley e Persol, oltre che le licenze per i marchi Chanel, Prada, Bulgari, Versace, Dolce & Gabbana, Burberry e Giorgio Armani. Un membro del forum Breached ha tentato di vendere a novembre 2022 un database, rubato durante un attacco informatico del 2021, che conteneva le informazioni di clienti statunitensi e canadesi.
Come ha scoperto il ricercatore italiano, tra il 30 aprile e il 13 maggio 2023, il database è stato pubblicato gratuitamente su un altro forum. Contiene oltre 300 milioni di record per un totale di oltre 140 GB, circa 74,4 milioni di indirizzi email e circa 2,6 milioni di domini email unici. Ci sono anche nomi, cognomi, date di nascita e indirizzi di residenza.
Luxottica ha confermato che i dati sono stati rubati durante l’attacco informatico del 2021 contro un partner e che l’indagine è ancora in corso. Questo è il comunicato ufficiale dell’azienda:
Abbiamo scoperto attraverso le nostre procedure di monitoraggio proattivo che alcuni dati dei clienti al dettaglio, presumibilmente ottenuti tramite una terza parte, sono stati pubblicati in un post online. Abbiamo immediatamente denunciato l’accaduto all’FBI e alla Polizia italiana. Il proprietario del sito web in cui sono stati pubblicati i dati è stato arrestato dall’FBI, il sito web è stato chiuso e le indagini sono in corso. È stata inviata anche una segnalazione all’autorità italiana per la protezione dei dati personali e stiamo valutando altri obblighi di notifica. Dalla nostra indagine, che è ancora in corso, finora sappiamo che i dati consistono principalmente nei dettagli di contatto del cliente, inclusi nomi, indirizzi, numeri di telefono, email e date di nascita. I dati non includono informazioni finanziarie individuali, numeri di previdenza sociale, dati di accesso o password o altre informazioni che potrebbero compromettere la sicurezza dei nostri clienti. EssilorLuxottica rimane fiduciosa che i suoi sistemi non siano stati violati e che la sua rete rimanga sicura.