Lidl discloses online shop breach after service provider hack
Mis à jour :
Fuite de données clients chez Lidl via un prestataire externe
Lidl a récemment confirmé une fuite de données personnelles touchant des clients de sa boutique en ligne en Allemagne, en Belgique et aux Pays-Bas. L’incident ne provient pas d’une compromission directe des systèmes de Lidl, mais d’une intrusion chez un prestataire de services tiers ayant accès à un fichier de données clients.
Points clés
- Portée : Clients de la boutique en ligne basés dans trois pays européens.
- Données exposées : Civilité, nom, prénom, numéro de téléphone, adresse e-mail, date de naissance et numéro client.
- Périmètre préservé : Les systèmes de la boutique en ligne, les mots de passe, les adresses de livraison/facturation et les informations de paiement (données bancaires) n’ont pas été compromis.
- Réaction : Lidl a informé les autorités de protection des données (notamment aux Pays-Bas) et a ouvert une enquête forensique avec le prestataire concerné, qui a déposé plainte.
Vulnérabilités
- Aucune CVE spécifique n’est mentionnée ; l’incident résulte d’une faille de sécurité chez un fournisseur tiers ayant permis un accès non autorisé à des fichiers stockés séparément.
Recommandations
- Vigilance accrue : Les clients concernés doivent être particulièrement attentifs aux tentatives de phishing (hameçonnage) et aux risques d’usurpation d’identité, car les informations volées peuvent être utilisées pour des campagnes d’ingénierie sociale ciblées.
- Sécurité des tiers : Pour les entreprises, cet incident souligne la nécessité de renforcer le contrôle de la sécurité des prestataires ayant accès à des données sensibles (gestion des privilèges et chiffrement des données au repos).
