Fuite chez Kiabi
En janvier 2025, l'enseigne française Kiabi a révélé une attaque par credential stuffing sur son site de seconde main (secondemain.kiabi.com) ayant exposé les nom, date de naissance, coordonnées et IBAN d'environ 20 000 clients.
- Victime
- Kiabi
- données
- 20.0K
Le 14 janvier 2025, Kiabi — grande enseigne française de prêt-à-porter — a révélé que son site de revente d'occasion, secondemain.kiabi.com, avait été visé par une attaque par credential stuffing détectée le 7 janvier. Les attaquants ont utilisé des couples identifiant/mot de passe issus de fuites sans rapport pour s'introduire massivement, via des bots automatisés, dans les comptes clients de la plateforme.
En accédant à ces comptes, les cybercriminels ont pu récupérer des données personnelles et bancaires partielles d'environ 20 000 clients. La fuite est restée circonscrite au site de seconde main et n'a pas touché la plateforme e-commerce principale de Kiabi.
Les données exposées comprenaient :
- Nom et prénom
- Date de naissance
- Adresse postale et coordonnées
- IBAN (lorsque le client en avait enregistré un)
Kiabi a précisé que les RIB complets et les pièces d'identité n'ont pas été compromis, ceux-ci étant détenus par son partenaire de paiement Lemonway et non accessibles depuis les comptes clients. En réponse, l'entreprise a masqué les IBAN dans les comptes, imposé la réinitialisation de tous les mots de passe et porté la longueur minimale du mot de passe à 14 caractères. Cette vague d'attaques par credential stuffing a été reliée par des chercheurs à un incident similaire survenu quelques jours plus tôt chez Showroomprivé.
Sources
- usine-digitale.frhttps://www.usine-digitale.fr/article/kiabi-touche-par-une-cyberattaque-les-coordonnees-bancaires-de-20-000-clients-derobees.N2225770
- franceinfo.frhttps://www.franceinfo.fr/internet/securite-sur-internet/cyberattaques/le-site-de-seconde-main-de-kiabi-a-ete-victime-d-une-cyberattaque-ciblant-les-donnees-de-20-000-clients_7015898.html
- linformaticien.comhttps://www.linformaticien.com/magazine/cybersecurite/62924-kiabi-victime-d-une-attaque-par-credential-stuffing.html
- moneyvox.frhttps://www.moneyvox.fr/actu/101612/des-iban-voles-suite-a-une-cyberattaque-sur-un-site-web-de-kiabi