Un incident a eu lieu entre août et septembre 2020 chez KOOKAI, une société de prêt-à-porter pour femmes qui édite le site « KOOKAI.FR ». Les données personnelles des clients du site ont été copiées et volées.

Les données concernées sont :

  • l’adresse e-mail des clients ;
  • les adresses de livraison et de facturation des clients ;
  • les numéros de téléphone des clients ;
  • la liste des produits achetés par les clients.

La société KOOKAI a indiqué dans un communiqué que deux membres de l’équipe de support de son fournisseur SHOPIFY sont à l’origine de l’incident.

E-mail envoyé par KOOKAI le 16 février 2022 aux clients concernés :

« Notre plateforme e-commerce SHOPIFY nous a alerté d’un incident affectant plus de 200 sites e-commerce dont celui de Kookaï.

Que s’est-il passé ? SHOPIFY est une plateforme e-commerce mondialement connue utilisée par plus d’un million d’entreprises de vente en ligne. Ils disposent d’un département de cyber sécurité réputé dédié à la protection des données clients, ce qui en fait à l’heure actuelle un des meilleurs partenaires pour opérer un site e-commerce.

SHOPIFY nous a alerté d’un incident qui implique 2 membres de leur équipe de support qui ont réussi à exporter les données transactionnelles de plus de 200 sites e-commerce à travers le monde dont malheureusement KOOKAI. SHOPIFY a immédiatement pris des sanctions contre ces personnes et lancé des investigations sur les raisons de ce vol et l’utilisation potentielle des données.

Bien que l’incident ait eu lieu entre août et septembre 2020, SHOPIFY a seulement identifié récemment que KOOKAI faisait partie des sites concernés. Jusqu’à maintenant, SHOPIFY n’a pas d’éléments qui pourraient laisser penser que les données exportées ont été utilisées de quelque manière que ce soit.

Quelles sont les informations concernées ? Les données exportées sont des adresses email, des adresses de livraison et de facturation, des numéros de téléphone ainsi que les produits achetés par les clients. SHOPIFY nous a assuré qu’aucune donnée bancaire n’avait pu être exportée, ni aucune autre donnée privée sensible. Cet incident est uniquement relatif au site KOOKAI France et ne concerne pas les sites KOOKAI dans les autres pays ou les transactions effectuées en boutique.

Êtes vous concernée par cet incident ? Les éléments que SHOPIFY nous a transmis nous confirment que vos données personnelles font partie des données exportées durant l’incident.

Les mesures mises en place : La sécurité des données personnelles que vous nous confiez est une priorité absolue pour KOOKAI. Nous sommes navrés de cet incident, indépendant de notre volonté, qui ne résulte pas d’un défaut de sécurité de nos processus internes. Nous sommes en contact avec SHOPIFY pour obtenir plus d’informations sur le sujet, et être tenu au courant des nouvelles procédures de sécurité mises en place.

Nous faisons appel à votre vigilance : Nous vous demandons d’être vigilant quant à la réception d’emails non désirés, notamment ceux incluant des liens, des pièces jointes ou demandant de fournir des informations personnelles. Les seules adresses emails utilisées par KOOKAI sont les suivantes (relationclient[@]kookai.fr, bonjour[@]newsfr.kookai.fr), et nous vous recommandons de les ajouter à votre carnet d’adresse pour une bonne réception. Nous vous rappelons également que nous ne vous demanderons jamais d’entrer vos coordonnées bancaires ailleurs que sur notre site internet kookai.fr.

Est-ce toujours sûr de commander sur kookai.fr ? Oui. SHOPIFY nous a garanti la mise en place de mesures de sécurité additionnelles pour éviter un nouvel incident similaire dans le futur.

N’hésitez pas à nous contacter à l’adresse (relationclient[@]kookai.fr) si vous souhaitez obtenir plus d’informations sur cet incident et les mesures qui sont en place visant à protéger vos données. »

— E-mail envoyé aux clients de Kookai, 16/02/2021