Personne n’est à l’abri d’une fuite de données, mais celle-ci est particulièrement embarrassante. Le fabricant de sextoys Tenga a en effet informé ses clients que des informations confidentielles les concernant sont dans la nature.
Tenga, spécialiste japonais des sextoys (notamment pour hommes), a prévenu ses clients qu’un pirate avait accédé au compte de messagerie d’un de ses employés. Il a obtenu le contenu de la boîte de réception du salarié, manifestement victime d’une tentative réussie de hameçonnage. L’opération a permis au pirate de consulter et de dérober des noms de clients, des adresses e-mail ainsi que des échanges antérieurs, « qui peuvent inclure des détails de commande ou des demandes adressées au service client », selon le message du constructeur intercepté par TechCrunch.
Noms, e-mails et détails de commandes dans la nature
Le hacker a également envoyé des messages frauduleux aux contacts de l’employé, dont des clients. Tenga n’a pas révélé le nombre de clients affectés par cette fuite de données, qui ne sont pas uniquement japonais — l’entreprise a en effet vendu plus de 160 millions de produits partout dans le monde, en Asie, aux États-Unis et en Europe. Le courriel d’alerte provient d’ailleurs de la boutique américaine.
Une fuite de données confidentielles est toujours problématique. Dans le cas de Tenga, la divulgation éventuelle de détails de commandes ou de correspondances avec le service client pourrait s’avérer particulièrement embarrassante pour certains consommateurs. La société recommande aux clients de changer de mots de passe, même s’ils ne font pas partie des données en fuite. Elle les invite également à redoubler de vigilance face aux courriels suspects, en particulier ceux semblant venir d’un employé précis (c’est peut-être celui dont le compte a été piraté).
Ces informations sont particulièrement prisées des pirates, qui peuvent ainsi organiser des opérations de phishing d’autant plus crédibles que les données sont précises (et très privées dans ce cas). Tenga affirme avoir pris plusieurs mesures après l’incident, notamment la réinitialisation des identifiants de l’employé concerné et l’activation, « sur l’ensemble de ses systèmes », d’une fonctionnalité de sécurité élémentaire : l’authentification à plusieurs facteurs. On se demande bien pourquoi ça n’était pas le cas jusqu’à présent.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
TechCrunch