Fuite chez Pandora
En août 2025, le bijoutier danois Pandora a révélé une compromission d'une plateforme CRM tierce (Salesforce) au cours de laquelle des attaquants ont dérobé des données de contact clients — noms, adresses email et dates de naissance — sans accès, selon l'entreprise, aux mots de passe ni aux données bancaires.
- Victime
- Pandora
Le 5 août 2025, Pandora — la marque de bijoux danoise, premier bijoutier mondial en volume — a confirmé que des données clients avaient été dérobées via une plateforme tierce utilisée pour gérer sa relation client.
L'intrusion n'a pas visé directement l'infrastructure de Pandora. Les attaquants ont accédé au CRM en ligne de l'entreprise (Salesforce), vraisemblablement par ingénierie sociale du personnel — la même vague d'attaques ayant frappé plusieurs grandes marques grand public durant l'été 2025. Ils en ont extrait des fichiers clients avant que l'accès ne soit coupé.
Les données exposées se limitaient à des informations de contact courantes :
- Noms des clients
- Adresses email
- Dates de naissance
Pandora a souligné qu'aucun mot de passe, numéro de carte bancaire ni autre donnée financière sensible n'avait été consulté.
Pandora a averti les clients concernés, mené un audit interne avec des experts externes, renforcé ses mesures de sécurité et invité les destinataires à se méfier des messages de phishing susceptibles d'exploiter les informations dérobées. L'entreprise a indiqué que l'incident était maîtrisé et qu'aucune preuve de publication ou d'utilisation abusive des données n'avait été constatée.
Sources
- cybernews.comhttps://cybernews.com/security/pandora-data-breach-cyberattack/
- zataz.comhttps://www.zataz.com/pandora-cyberattaque-enjeux-cybersecurite-luxe/
- bitdefender.comhttps://www.bitdefender.com/en-us/blog/hotforsecurity/jewelry-giant-pandora-confirms-data-breach-customer-names-and-email-addresses-compromised
- next.inkhttps://next.ink/brief_article/pandora-victime-dune-cyberattaque-seules-des-donnees-courantes-ont-ete-copiees/