Le 7 janvier, le site de seconde main de la société de prêt-à-porter Kiabi a été visé par des attaques par bourrage d’identifiants, permettant aux cybercriminels d’accéder aux données personnelles de 20 000 clients. Les adresses postales, dates de naissance et IBAN (numéro de compte bancaire international) sont notamment concernés mais “Ils n’ont eu en aucun cas accès à votre RIB et pièce d’identité, qui sont stockés chez notre partenaire Lemonway et non accessibles depuis votre compte client”, assure Kiabi.
«Les équipes du site Seconde Main by Kiabi ont détecté une cyberattaque par ‘credential stuffing’», a d’ailleurs confirmé la marque nordiste auprès de l’AFP mardi 14 janvier. Selon Kiabi, les escrocs auraient pu utiliser «les identifiants issus de fuites de données d’autres sites web pour tenter d’accéder aux comptes clients visés».
Une fonctionnalité de masquage de l’IBAN mise en place
La société détenue par la famille Mulliez affirme avoir mis en place une fonctionnalité de masquage des IBAN après la détection de la cyberattaque et a réinitialisé l’intégralité des mots de passe client. “Nous avons passé le nombre de caractères minimum dans nos mots de passe à 14 pour augmenter le niveau de sécurité”, précise enfin l’entreprise.
Ces dernières semaines, de nombreuses entreprises ont été victimes de cyberattaques mettant en péril les données de leurs clients : ce fut le cas de Free notamment où 19,2 millions de données de clients de Free ont été compromises, puis d’Auchan, Peugeot ou encore Norauto. Depuis le piratage de Free d’ailleurs, les arnaques ont explosé.
