Le marché des baskets en ligne n'a pas dévoilé une violation de données record de 6,8 millions

StockX – une place de marché en ligne populaire pour les amateurs de sneakers et de streetwear travaillant dans le commerce du vêtement – est la dernière société à être victime d'une violation massive des données affectant des millions de ses utilisateurs.

t assez mauvais, TechCrunch a rapporté ce week-end que l'incident s'est produit il y a près de trois mois, en mai

Bien que StockX n'ait pas révélé le nombre exact d'utilisateurs touchés, le marché a déclaré qu '«un tiers inconnu – la partie a pu accéder à certaines données client, notamment le nom du client, l'adresse électronique, l'adresse de livraison, le nom d'utilisateur, les mots de passe hachés et l'historique des achats. »

Le rapport de TechCrunch indique toutefois que le nombre est de 6,8 millions après une violation de données non identifiée. le vendeur a contacté la publication avec les informations.

Et voici les données @StockX vendues sur le Web sombre. Selon la liste, il vaut environ 300 dollars et il a déjà été vendu à une personne. (Nous ne faisons pas de lien vers la liste.) pic.twitter.com/6YpEJATEQR

– Zack Whittaker (@zackwhittaker) le 3 août 2019

StockX, pour sa part, a affirmé n'avoir trouvé aucune preuve indiquant que les informations financières ou de paiement des clients avaient été affectées du fait de la violation. Mais certains utilisateurs de Twitter font remarquer que des achats frauduleux ont été effectués via leurs comptes .

De «mises à jour système» à «activités suspectes»

TechCrunch, qui avait accès à un échantillon de 1 000 Selon le vol, l'information contenait également la taille de la chaussure, la devise utilisée, le type d'appareil de l'utilisateur (Android ou iPhone) et la version du logiciel, ainsi que “si l'utilisateur était banni ou si les utilisateurs européens l'avaient accepté. Le message GDPR de la société. ”

Le 1 er août, les révélations ont eu lieu deux jours après que StockX avait envoyé à ses clients des courriers suspects de“ réinitialisation du mot de passe ”sans avertissement préalable.« Nous avons récemment effectué des mises à jour système sur la plate-forme StockX. Pour accéder à votre compte, réinitialisez votre mot de passe en cliquant ci-dessous », a-t-on lu dans l'e-mail.

Alors que le fondateur de StockX, Josh Luber, a confirmé que les réinitialisations du mot de passe étaient« légitimes », ce n'est que samedi que les« mises à jour système »ont été effectuées. révélé.

Oui. Legit

– Josh Luber (@joshluber) le 1 août 2019

À la suite de la violation et au cours de l'enquête médico-légale en cours, la société a publié une réinitialisation du mot de passe de tous ses utilisateurs et implanté un verrouillage de ses systèmes d'infrastructure en nuage.

La plate-forme de commerce électronique a également indiqué que, lorsque les courriels de réinitialisation du mot de passe d'origine étaient envoyés à ses utilisateurs, la nature, l'étendue ou la portée de l'activité suspecte n'était pas encore connue.

rester sans réponse. Étant donné que l'incident de sécurité s'est produit en mai, qui a alerté StockX de la violation de données, et quand? Quand l'enquête a-t-elle commencé? Pourquoi n'a-t-il pas alerté les clients immédiatement après la découverte de la violation? Pourquoi envoyer simplement un e-mail de réinitialisation de mot de passe au lieu de confirmer qu'il y avait eu un cas d'accès non autorisé?

Une violation de données fatigue

La société basée à Détroit valait plus de 1 milliard de dollars après avoir collecté 110 millions de dollars en juin et avait même nommé l'ancien vice-président d'eBay, Scott Cutler, pour être son nouveau directeur général.

Totalement transparent, le marché de la revente de produits de style de vie s'est mis dans une impasse. Il est fort probable que la nouvelle fortune en prenne un coup.

À la suite de cet incident, StockX s’associe à un flot continu d’entreprises dont le système a été violé au cours des dernières semaines. La semaine dernière, la banque américaine Capital One a révélé un incident de sécurité touchant 106 millions de clients, tout comme le revendeur de vêtements Poshmark qui avait découvert que les données de certains de ses 50 millions d'utilisateurs avaient été acquises par une personne non autorisée.

En dehors des coûts personnels impliqués, la vague de violations fréquentes a provoqué une fatigue due à la violation de données – conduisant potentiellement les internautes à devenir insensibles à l’idée même de la vie privée et de la sécurité dans un monde numérique.

Le Centre de ressources sur le vol d'identité (ITRC) – dans son rapport sur les violations de données de fin d'année 2018 – a noté que, bien que le nombre d'infractions signalées ait diminué de 23%, le nombre d'informations identifiables personnellement en hausse de 126 pour cent.

En fin de compte, ce sont les utilisateurs qui souhaitent une expérience en ligne transparente et digne de confiance qui finissent par obtenir un contrat brut. «C’est inquiétant qu’ils aient été piratés, et nos données sont vendues sur le #darknet, mais cela rend encore pire le fait que @stockx n’était pas honnête avec ses clients», a déclaré un client dans un tweet .