Luxottica confirma violação após dados de 70 milhões vazarem

Da Redação
21/05/2023

A Luxottica, fabricante italiana de óculos, que também distribui marcas de luxo como Ray-Ban, Oakley, Chanel, Prada, Versace, Giorgio Armani, Miu-Miu, Valentino, Dolce e Gabbana, Michael Kors, entre outras, confirmou na sexta-feira passada, 19, que um de seus parceiros sofreu uma violação de dados em 2021 que expôs as informações pessoais de 70 milhões de clientes. A confirmação foi feita depois que um banco de dados foi publicado este mês gratuitamente em fóruns de hackers. 

No Brasil — que não foi afetado pelo ataque, segundo a empresa —, a Luxottica possui uma fábrica em Campinas, no interior de São Paulo,  e também atua no varejo com as Óticas Carol.

Em novembro do ano passado, um membro do agora extinto fórum de hackers clandestino Breached.totentou vender o que alegou ser um banco de dados de 2021 contendo 300 milhões de registros de informações pessoais relacionadas a clientes da Luxottica nos Estados Unidos e Canadá. Segundo o “vendedor”, o banco de dados continha informações pessoais dos clientes, como endereços de e-mail, nomes e sobrenomes, endereços e data de nascimento.

No entanto, a empresa não deixou claro se o dump, oferecido para venda, se refere aos dados roubados em um novo ataque ou a dois ataques de ransomware pelos quais a empresa foi afetada em 2020. A Luxottica sofreu uma violação de dados em agosto de 2020 que expôs as informações pessoais de 829.454 pacientes da EyeMed, operadora de seguro de visão controlada pela empresa, e Lenscrafters, outra varejista do grupo. No mês seguinte, a Luxottica voltou a sofrer um ataque, desta vez um ataque de ransomware que encerrou as operações da empresa na Itália e na China.

Veja isso
Fabricante dos óculos Ray-Ban sob ataque de ransomware
73% dos ataques de ransomware no Brasil foram bem-sucedidos

No ano passado, o Departamento de Serviços Financeiros do Estado de Nova York já havia multado a Eyemed em US$ 4,5 milhões ao Estado de Nova York por violações do Regulamento de Segurança Cibernética da DFS (23 NYCRR Parte 500) que contribuiu para a exposição de centenas de milhares de dados de saúde pessoais confidenciais, incluindo dados relativos de menores de idade.

No mais recentemente vazamento, o banco de dados foi exposto totalmente gratuito em 30 de abril e 12 deste mês, em diferentes fóruns de hackers, tornando os dados muito mais acessíveis aos operadores de ameaças. O site BleepingComputer afirmou que o pesquisador da empresa italiana de segurança cibernética D3Lab, Andrea Draghetti, confirmou que o banco de dados contém 305 milhões de linhas, 74,4 milhões de endereços de e-mail exclusivos e 2,6 milhões de endereços de e-mail de domínio único.

Segundo o site, ao contatar a Luxottica sobre o vazamento dos dados, a empresa confirmou que os dados expostos vieram de um incidente de segurança que afetou um parceiro terceirizado que mantinha os dados dos clientes.

A empresa acrescentou que sua investigação sobre o incidente ainda está em andamento. No entanto, já determinou que os dados expostos contêm nomes completos de clientes, e-mails, números de telefone, endereços e datas de nascimento.

Compartilhar: