Le site web de Seiko USA a été victime d’une attaque au cours du week-end, affichant une annonce des hackers affirmant avoir volé la base de données clients de la plateforme Shopify. Les attaquants menacent de rendre ces informations publiques à moins d’un paiement de rançon.
Les utilisateurs qui accédaient à la section « Press Lounge » ont été redirigés vers une page intitulée « HACKED ». Sur cette page, le contenu habituel a été remplacé par une demande de rançon et un avis de violation de données.
Le message affirmait que les attaquants avaient pu accéder au backend de Shopify de l’entreprise et en avaient extrait des données sensibles concernant les clients.
Un extrait de la page piratée indiquait : « Ceci est une notification de sécurité urgente concernant votre boutique Shopify. Votre base de données clients a été compromise. »
Les assaillants ont prétendu avoir pénétré avec succès les systèmes de sécurité de la boutique et avoir téléchargé l’intégralité de la base de données clients.
Source: BleepingComputer
Les criminels annoncent que les données volées comprennent :
- Informations clients : noms, adresses e-mail, numéros de téléphone
- Historique des commandes : enregistrements d’achats, détails des transactions
- Données de livraison : adresses, préférences d’expédition
- Détails de compte : dates de création de compte, notes clients
Les attaquants mettent en garde que ces données seront divulguées publiquement si Seiko USA ne commence pas rapidement des négociations.
Ils ont également demandé à l’entreprise de localiser un compte client spécifique, identifié par l’ID 8069776801871, dans le panneau d’administration Shopify. Selon les hackers, une adresse email a été ajoutée à ce profil, qui doit être utilisée pour engager les négociations.
Le message de menace précisait que Seiko USA avait 72 heures pour prendre contact, sous peine que la base de données prétendument volée soit publiée.
Jusqu’à présent, BleepingComputer n’a pas réussi à identifier les responsables de cette attaque ni à vérifier la véracité de leurs affirmations.
À l’heure actuelle, Seiko USA n’a pas confirmé publiquement l’incident ni répondu aux courriels de BleepingComputer, bien qu’elle ait retiré le message d’extortion de son site web.