Feb 26, 2024
Luxottica는 7천만 건의 온라인 유출 정보 이후 2021년 데이터 침해를 확인했습니다.
Luxottica는 이번 달 해킹에 대한 데이터베이스가 무료로 게시된 후 파트너 중 한 곳이 2021년에 7천만 명의 고객의 개인 정보를 노출한 데이터 유출을 겪었음을 확인했습니다.
Luxottica는 이번 달 해킹 포럼에 데이터베이스가 무료로 게시된 후 파트너 중 한 곳이 2021년에 7천만 명의 고객의 개인 정보를 노출한 데이터 유출을 겪었음을 확인했습니다.
Luxottica는 세계 최대의 안경 회사, 안경 및 안경테 제조업체이며 Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgio Armani, Michael Kors 등과 같은 인기 브랜드를 소유하고 있습니다. 미국에서는 안과보험사 아이메드(Eyemed)도 운영하고 있다.
2022년 11월, 현재는 사라진 'Breached' 해커 포럼의 회원이 미국과 캐나다의 Luxottica 고객과 관련된 3억 개의 개인 정보 기록이 포함된 2021년 데이터베이스를 판매하려고 시도했습니다.
판매자에 따르면 데이터베이스에는 이메일 주소, 성과 이름, 주소, 생년월일 등 고객의 개인 정보가 포함되어 있었습니다.
이 덤프는 당시 Breached에서 비공개 판매를 위해 제공되었으므로 데이터가 새로운 공격에서 도난당했는지 아니면 2020년에 회사가 영향을 받은 두 번의 공격에서 도난당했는지는 확실하지 않습니다.
Luxottica는 2020년 8월에 EyeMed 및 Lenscrafters 환자 829,454명의 개인 정보가 노출된 데이터 유출을 겪었습니다. 다음 달에도 Luxottica는 다시 한 번 공격을 받았습니다. 이번에는 랜섬웨어 공격으로 인해 이탈리아와 중국에서 회사의 운영이 중단되었습니다.
그러나 최근에는 2023년 4월 30일과 5월 12일에 여러 해킹 포럼에서 데이터베이스 전체가 무료로 유출되어 위협 행위자가 데이터에 훨씬 더 쉽게 접근할 수 있게 되었습니다.
이탈리아 사이버 보안 회사인 D3Lab의 수석 연구원인 Andrea Draghetti는 유출된 데이터를 분석한 후 BleepingComputer에 해당 데이터에 3억 500만 줄, 7440만 개의 고유 이메일 주소, 260만 개의 고유 도메인 이메일 주소가 포함되어 있음을 확인했습니다.
Draghetti는 또한 최신 데이터베이스 기록을 기반으로 유출 날짜를 2021년 3월 16일로 결정했는데, 이는 데이터가 이전에 공개되지 않은 데이터 침해에서 유래했을 가능성이 있음을 의미합니다.
BleepingComputer가 게시된 데이터에 관해 Luxottica에 연락한 후, 회사는 유출된 데이터가 고객 데이터를 보유하고 있는 제3자 계약자에게 영향을 미친 보안 사고에서 나온 것임을 확인했습니다.
회사 측은 해당 사건에 대한 조사가 아직 진행 중이라고 덧붙였다. 그러나 노출된 데이터에는 고객 이름, 이메일, 전화번호, 주소, 생년월일이 포함된 것으로 이미 확인되었습니다.
“우리는 사전 모니터링 절차를 통해 Luxottica 소매 고객과 관련된 제3자를 통해 획득한 것으로 추정되는 특정 소매 고객 데이터가 온라인 게시물에 게시되었음을 발견했습니다.
우리는 즉시 사건을 FBI와 이탈리아 경찰에 신고했습니다. 해당 데이터가 게시된 웹사이트의 소유자는 FBI에 의해 체포되었으며 해당 웹사이트는 폐쇄되었으며 조사가 진행 중입니다. 이탈리아 데이터 보호 당국에도 통보되었으며 당사는 다른 통보 의무도 고려하고 있습니다.
아직 진행 중인 조사를 통해 지금까지 데이터는 주로 이름, 주소, 전화번호, 이메일, 생년월일 등 고객 연락처 세부 정보로 구성되어 있음을 알고 있습니다. 데이터에는 개인의 금융 정보, 주민등록번호, 로그인 또는 비밀번호 데이터 또는 고객의 안전을 위협할 수 있는 기타 정보가 포함되지 않습니다.
EssilorLuxottica는 시스템이 침해되지 않았으며 네트워크가 안전하게 유지된다는 확신을 갖고 있습니다.” - 룩소티카
침해 사실을 언제 처음 깨달았는지 묻는 질문에 Luxottica 대변인은 "우리는 2022년 11월 다크 웹의 제3자 게시물을 통해 이 사건에 대해 처음 알게 되었습니다."라고 대답했습니다.
HIBP(Have I Been Pwned) 데이터 침해 알림 서비스의 소유자인 Troy Hunt는 유출된 데이터에 77,093,812개의 고유 계정이 포함되어 있으며 그 중 74%가 이미 플랫폼 기록에 있다고 BleepingComputer에 말했습니다.
Hunt는 HIBP가 2021년 Luxottica 데이터 침해와 관련하여 오늘 플랫폼 가입자에게 320,000개 이상의 위반 통지를 보낼 것이라고 말했습니다.