Blog

Feb 26, 2024

Luxottica bestätigt Datenverstoß im Jahr 2021 nach Informationen über 70 Millionen Leaks im Internet

Luxottica hat bestätigt, dass einer seiner Partner im Jahr 2021 einen Datenverstoß erlitten hat, der die persönlichen Daten von 70 Millionen Kunden offengelegt hat, nachdem diesen Monat eine Datenbank zum Thema Hacking kostenlos veröffentlicht wurde

Luxottica hat bestätigt, dass einer seiner Partner im Jahr 2021 einen Datenverstoß erlitten hat, der die persönlichen Daten von 70 Millionen Kunden offengelegt hat, nachdem diesen Monat eine Datenbank kostenlos in Hackerforen veröffentlicht wurde.

Luxottica ist das weltweit größte Brillenunternehmen, Brillen- und Korrekturfassungsunternehmen und Eigentümer beliebter Marken wie Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce und Gabbana, Burberry, Giorgio Armani, Michael Kors und viele andere. Das Unternehmen betreibt außerdem Eyemed, eine Augenversicherungsgesellschaft in den USA.

Im November 2022 versuchte ein Mitglied des inzwischen aufgelösten Hackerforums „Breached“, eine Datenbank aus dem Jahr 2021 zu verkaufen, die angeblich 300 Millionen Datensätze persönlicher Daten von Luxottica-Kunden in den USA und Kanada enthielt.

Nach Angaben des Verkäufers enthielt die Datenbank persönliche Daten der Kunden wie E-Mail-Adressen, Vor- und Nachnamen, Adressen und Geburtsdatum.

Der Dump wurde damals auf Breached zum Privatverkauf angeboten, daher war nicht klar, ob die Daten bei einem neuen Angriff oder bei zwei Angriffen, von denen das Unternehmen im Jahr 2020 betroffen war, gestohlen wurden.

Luxottica erlitt im August 2020 einen Datenverstoß, bei dem die persönlichen Daten von 829.454 EyeMed- und Lenscrafters-Patienten offengelegt wurden. Im darauffolgenden Monat wurde Luxottica erneut angegriffen, diesmal durch einen Ransomware-Angriff, der die Geschäftstätigkeit des Unternehmens in Italien und China lahmlegte.

Allerdings wurde die Datenbank am 30. April und 12. Mai 2023 vollständig und kostenlos in verschiedenen Hacking-Foren durchgesickert, wodurch die Daten für Bedrohungsakteure weitaus zugänglicher wurden.

Andrea Draghetti, der führende Forscher des italienischen Cybersicherheitsunternehmens D3Lab, analysierte die durchgesickerten Daten und bestätigte gegenüber BleepingComputer, dass sie 305 Millionen Zeilen, 74,4 Millionen eindeutige E-Mail-Adressen und 2,6 Millionen eindeutige Domain-E-Mail-Adressen enthalten.

Draghetti ermittelte außerdem anhand der neuesten Datenbankeinträge, dass das Exfiltrationsdatum der 16. März 2021 sei, was bedeutete, dass die Daten wahrscheinlich aus einer zuvor nicht offengelegten Datenpanne stammten.

Nachdem BleepingComputer Luxottica wegen der veröffentlichten Daten kontaktiert hatte, bestätigte das Unternehmen, dass die durchgesickerten Daten von einem Sicherheitsvorfall stammten, der einen Drittanbieter betraf, der über Kundendaten verfügte.

Das Unternehmen fügte hinzu, dass die Untersuchung des Vorfalls noch im Gange sei. Es wurde jedoch bereits festgestellt, dass die offengelegten Daten vollständige Kundennamen, E-Mails, Telefonnummern, Adressen und Geburtsdaten enthalten.

„Durch unsere proaktiven Überwachungsverfahren haben wir herausgefunden, dass bestimmte Einzelhandelskundendaten, die angeblich über einen mit Luxottica-Einzelhandelskunden verbundenen Dritten erlangt wurden, in einem Online-Beitrag veröffentlicht wurden.

Wir haben den Vorfall sofort dem FBI und der italienischen Polizei gemeldet. Der Eigentümer der Website, auf der die Daten veröffentlicht wurden, wurde vom FBI festgenommen, die Website wurde geschlossen und die Ermittlungen dauern an. Auch die italienische Datenschutzbehörde wurde benachrichtigt und wir erwägen weitere Meldepflichten.

Aus unserer noch laufenden Untersuchung wissen wir bisher, dass es sich bei den Daten in erster Linie um Kundenkontaktdaten wie Namen, Adressen, Telefonnummern, E-Mails und Geburtsdaten handelt. Die Daten umfassen keine Finanzinformationen, Sozialversicherungsnummern, Anmelde- oder Passwortdaten oder andere Informationen von Einzelpersonen, die die Sicherheit unserer Kunden gefährden würden.

EssilorLuxottica ist weiterhin zuversichtlich, dass seine Systeme nicht verletzt wurden und sein Netzwerk weiterhin sicher ist.“ - Luxottica

Auf die Frage, wann ihnen der Verstoß zum ersten Mal aufgefallen sei, antwortete ein Luxottica-Sprecher: „Wir haben erstmals im November 2022 durch einen Beitrag Dritter im Dark Web von dem Vorfall erfahren.“

Troy Hunt, der Inhaber des Datenschutzverletzungsmeldedienstes „Have I Been Pwned“ (HIBP), sagte gegenüber BleepingComputer, dass die durchgesickerten Daten 77.093.812 eindeutige Konten umfassen, von denen 74 % bereits in den Aufzeichnungen der Plattform enthalten seien.

Hunt teilte uns mit, dass HIBP heute über 320.000 Benachrichtigungen über einen Verstoß bezüglich des Luxottica-Datenverstoßes im Jahr 2021 an Abonnenten der Plattform versenden wird.

Um zu überprüfen, ob Ihre Daten bei diesem Verstoß offengelegt wurden, können Sie die HIBP-Website besuchen und auf der Hauptseite nach Ihrer E-Mail-Adresse suchen. Die Website listet dann alle Datenschutzverstöße auf, bei denen Ihre E-Mail-Adresse offengelegt wurde.

BreachForums-Datenbank und private Chats zum Verkauf bei Hacker-Datenverstoß

8 Millionen Menschen sind von einem Datenverstoß beim US-Regierungsunternehmen Maximus betroffen

Die NATO untersucht mutmaßlichen Datendiebstahl durch SiegedSec-Hacker

HCA bestätigt Verstoß, nachdem Hacker Daten von 11 Millionen Patienten gestohlen hat

Razer untersucht Ansprüche wegen Datenschutzverletzungen und setzt Benutzersitzungen zurück