La cyberattaque de Pandora expose les données des clients via un fournisseur tiers

Pandora, la marque mondiale de bijoux, a confirmé aujourd'hui avoir subi une cyberattaque ayant permis un accès non autorisé à certaines données clients. L'entreprise a informé ses clients directement par e-mail, expliquant que la faille s'était produite via une plateforme tierce qu'elle utilise, et non via ses systèmes internes.

Bien qu'aucune information financière ou hautement sensible n'ait été compromise, la faille a néanmoins affecté des données personnelles, notamment des noms, des numéros de téléphone et des adresses e-mail. Pandora a assuré ses clients que l'attaque avait été contenue et que ses systèmes de sécurité avaient été renforcés depuis.

L'entreprise a clairement indiqué que les mots de passe, les informations de carte bancaire et autres informations similaires n'étaient pas concernés par la faille. Cependant, les experts en cybersécurité préviennent que même des données personnelles limitées peuvent servir de passerelle vers des escroqueries plus ciblées.

Selon Christoph C. Cemper , fondateur de l'entreprise de cybersécurité AIPRM, les informations exposées rendent les clients vulnérables aux tentatives de phishing. « Les attaquants utilisent souvent des e-mails compromis pour envoyer de faux messages imitant des entreprises de confiance. Cliquer sur des liens ou des pièces jointes de ces e-mails peut entraîner un vol de données ou une fraude financière », a-t-il déclaré. Cemper a souligné l'importance de ne pas communiquer avec des expéditeurs inconnus et de se méfier des messages demandant une action immédiate.

Pandora recommande également à ses clients de se méfier des e-mails suspects se faisant passer pour l'entreprise. Par mesure de précaution, ils recommandent d'éviter de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues.

Pour les utilisateurs soucieux de leur sécurité, il est fortement recommandé d'activer l'authentification à deux facteurs sur les comptes liés à l'adresse e-mail exposée. Cemper a également recommandé aux clients de remplacer tout mot de passe réutilisé sur différentes plateformes par un mot de passe unique. Même si les comptes Pandora n'ont pas été directement affectés par ce problème, les acteurs malveillants testent souvent des combinaisons e-mail-mot de passe connues sur plusieurs sites.

Du côté des entreprises, les experts affirment que la protection des données financières ne doit pas se limiter aux entreprises. « Les commerçants devraient chiffrer même les informations clients les plus élémentaires, comme les noms et les adresses e-mail », a déclaré Cemper. « Il est également important d'effectuer des tests d'intrusion fréquents pour identifier et corriger les vulnérabilités avant que les attaquants ne le fassent. »

Il a également souligné que les entreprises devraient investir dans des systèmes de détection des menaces en temps réel, basés sur l'IA, capables de signaler rapidement les comportements suspects. La surveillance des pics de trafic ou des demandes de données inhabituelles peut contribuer à contenir les failles avant qu'elles ne se propagent.

Pandora a conclu son message en reconnaissant la fréquence croissante de tels incidents et a réitéré son engagement en faveur de la confidentialité. « Des attaques de ce type sont malheureusement devenues plus fréquentes ces dernières années, en particulier parmi les entreprises mondiales. Nous prenons cela très au sérieux », a déclaré l'entreprise.

Même si le pire a peut-être été évité cette fois-ci, les données personnelles doivent toujours être traitées avec prudence. Et pour les commerçants, les informations de base ne sont plus trop insignifiantes pour être protégées. Quant à l'identité des auteurs de la faille, elle reste incertaine. Cependant, Scattered Spider , un groupe connu pour cibler les géants de la distribution à l'échelle mondiale, pourrait être pointé du doigt. Cela dit, il est trop tôt pour spéculer.