Luxottica è la più grande azienda al mondo di occhiali e montature da vista e proprietaria di marchi famosi come Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce e Gabbana, Burberry, Giorgio Armani, Michael Kors e molti altri.
Luxottica Group S.p.A. è presente in oltre 150 paesi nei cinque continenti ed è la più grande produttrice mondiale di montature da vista e da sole. Nel 2012 è risultata essere la prima azienda italiana nel campo della moda per fatturato.
Luxottica ha confermato che un terza parte ha subito una violazione dei dati nel 2021 che ha esposto le informazioni personali di 70 milioni di clienti dopo che questo mese è stato pubblicato gratuitamente un database sui forum di hacking.
Advertising
Messa in vendita dei dati nel 2021, da parte di un criminale informatico sul defunto forum underground Breached (Fonte RHC)
Secondo il venditore, il database conteneva informazioni personali dei clienti, come indirizzi e-mail, nomi e cognomi, indirizzi e data di nascita. Il dump è stato offerto per una vendita privata all’epoca su Breached, quindi non era chiaro se i dati fossero stati rubati in un nuovo attacco o durante due attacchi da cui la società è stata colpita nel 2020.
Analisi del samples all’epoca scaricabile da AnonFiles (Fonte RHC)
Più recentemente, il database è trapelato nella sua interezza gratuitamente il 30 aprile e il 12 maggio 2023, su diversi forum di hacking, rendendo i dati molto più accessibili agli attori delle minacce.
Un esempio di pubblicazione dei dati su un forum underground
BleepingComputer ha contattato Luxottica in merito ai dati pubblicati, e l’azienda ha confermato che i dati trapelati provenivano da un incidente di sicurezza che ha avuto un impatto su un appaltatore di terze parti che deteneva i dati dei clienti.
L’azienda ha aggiunto che la sua indagine sull’incidente è ancora in corso. Tuttavia, ha già stabilito che i dati esposti contengono nomi completi di clienti, e-mail, numeri di telefono, indirizzi e date di nascita.
Advertising
Abbiamo scoperto attraverso le nostre procedure di monitoraggio proattivo che alcuni dati dei clienti al dettaglio, presumibilmente ottenuti tramite una terza parte correlata ai clienti al dettaglio di Luxottica, sono stati pubblicati in un post online.
Abbiamo immediatamente denunciato l'accaduto all'FBI e alla Polizia italiana.
Il proprietario del sito Web in cui sono stati pubblicati i dati è stato arrestato dall'FBI, il sito Web è stato chiuso e le indagini sono in corso. È stata notificata anche l'autorità italiana per la protezione dei dati personali e stiamo valutando altri obblighi di notifica.
Dalla nostra indagine, che è ancora in corso, finora sappiamo che i dati consistono principalmente nei dettagli di contatto del cliente, inclusi nomi, indirizzi, numeri di telefono, e-mail e date di nascita.
I dati non includono informazioni finanziarie individuali, numeri di previdenza sociale, dati di accesso o password o altre informazioni che potrebbero compromettere la sicurezza dei nostri clienti.
EssilorLuxottica rimane fiduciosa che i suoi sistemi non siano stati violati e che la sua rete rimanga sicura". -Luxottica
EssilorLuxottica S.A. è una multinazionale italo-francese verticalmente integrata, con sede a Parigi e fondata il 1º ottobre 2018 a seguito della fusione tra l’italiana Luxottica e la francese Essilor. È tra i principali gruppi nella progettazione, produzione e commercializzazione di lenti oftalmiche, apparecchiature ottiche ed occhiali da vista e da sole.
In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” dovute a problematiche che non avvengono con esfiltrazioni dirette dalle infrastrutture IT delle aziende, ma da aziende di terze parti. Tutto questo ci porta all’attenzione che i fornitori possono essere oggi il “tallone di Achille” sia nella produzione che nella sicurezza informatica aziendale e occorre prestarne la massima attenzione.
Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli e possono portare anche a problemi del fermo delle linee produttive causando danni in cascata con ricadute devastanti. Le attività di controllo da applicare alle terze parti è una pratica fondamentale, oltre a poggiare i contratti su clausole contrattuali specifiche che regolamentino la sicurezza informatica.
Ne consegue che oggi più che mai occorre investire sull’approfondire tutto questo, in quanto sui giornali ci va il brand dell’azienda cliente, oltre che il fornitore.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.
Aree di competenza:Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.