Un incident a eu lieu entre le 19 et 20 août 2022 chez VANS, une marque spécialisée dans les chaussures de sport appartenant à la société VF CORPORATION. Les données des clients de « VANS.COM » ont été compromises suite à un accès non autorisé aux systèmes de l’entreprise.

Les données associées aux comptes ont été compromises. Les données peuvent contenir : le nom et prénom, l’adresse e-mail, le mot de passe du compte, l’historique des achats, le ou les adresses de facturation, le ou les adresses d’envois, la date de naissance, le numéro de téléphone, la date de création du compte et les éléments associés au compte fidélité Vans Family.

Le message de la société envoyé aux clients concernés en septembre 2022 :

« Avis important concernant votre compte sur vans.com et vos informations personnelles

La sécurité de vos informations personnelles nous tient à cœur. Nous vous fournissons l’avis ci-dessous pour vous informer que nous avons découvert des preuves indiquant un possible accès non autorisé à votre compte sur vans.com, ce qui a été fait pour vous protéger et ce que vous pouvez faire maintenant par mesure de sécurité supplémentaire.

Que s’est-il passé ? Le 20 août 2022, nous avons détecté une activité inhabituelle sur notre site Web, vans.com. Après une enquête approfondie, nous avons conclu qu’un attaquant avait lancé une attaque par bourrage d’identifiants contre notre site Web, vans.com, les 19 et 20 août 2022. Une "attaque par bourrage d’identifiants" est un type spécifique d’attaque de cybersécurité où l’attaquant utilise des crédits d’authentification de compte (par exemple, des adresses e-mail/noms d’utilisateur et mots de passe), souvent obtenus à partir d’une autre source, comme une violation d’une autre société, d’un système ou d’un site Web, pour obtenir un accès non autorisé aux comptes des utilisateurs.

Sur la base de notre enquête, nous pensons que l’attaquant a obtenu votre adresse e-mail et votre mot de passe et qu’il a pu accéder aux informations stockées sur votre compte sur vans.com. Ces informations peuvent inclure les produits que vous avez achetés sur notre site web, votre/vos adresse(s) de facturation, votre/vos adresse(s) d’expédition, vos préférences, votre adresse e-mail, votre prénom et votre nom, votre date de naissance (si vous l’avez enregistrée sur votre compte), votre numéro de téléphone (si vous l’avez enregistré sur votre compte), le numéro d’identification unique que nous vous avons attribué, la date de création de votre compte, votre sexe (si vous l’avez enregistré sur votre compte) et vos enregistrements de récompenses Vans Family (si vous étiez un membre de Vans Family).

Les informations relatives aux cartes de paiement (cartes de crédit, de débit ou à valeur stockée) n’ont pas été compromises sur vans.com. L’attaquant n’a pas pu voir le numéro complet de la carte de paiement, la date d’expiration ou le CVV (le code court au dos de votre carte). Nous ne conservons pas de copie des informations relatives aux cartes de paiement sur vans.com. Nous ne conservons qu’un "jeton" lié à votre carte de paiement, et seul notre processeur de carte de paiement tiers conserve les détails de la carte de paiement. Le jeton ne peut être utilisé pour effectuer un achat ailleurs que sur vans.com. Par conséquent, même si vous aviez enregistré les informations de votre carte de crédit sur votre compte, ces informations ne sont pas en danger suite à cet incident.

La protection de vos informations personnelles est une chose que nous prenons très au sérieux. Dès que nous avons été informés de l’attaque, nous avons rapidement pris des mesures pour y mettre fin. Ces mesures comprenaient la désactivation des mots de passe et l’effacement des jetons de carte de paiement des comptes auxquels il a été accédé pendant la période d’attaque. Vous devrez donc créer un nouveau mot de passe (unique) et saisir à nouveau les informations de votre carte de paiement lors de votre prochain achat sur vans.com. Nous continuons à surveiller nos systèmes pour détecter toute activité suspecte.

Que pouvez-vous faire maintenant ? Veuillez changer votre mot de passe sur vans.com et sur les autres sites où vous utilisez le même mot de passe. Nous vous encourageons vivement à ne pas utiliser le même mot de passe pour votre compte sur vans.com que celui que vous utilisez sur d’autres sites Web. Si une violation se produit sur l’un de ces autres sites Web, un attaquant pourrait utiliser votre adresse électronique et votre mot de passe pour accéder à votre compte sur vans.com. En outre, nous vous recommandons d’éviter d’utiliser des mots de passe faciles à deviner. Vous devez également être attentif aux attaques de type "phishing", où des acteurs malveillants peuvent prétendre représenter Vans ou d’autres organisations. Vous ne devez pas fournir vos informations personnelles en réponse à des communications électroniques concernant un incident de cybersécurité. Nous avons inclus ci-dessous des informations supplémentaires sur les mesures que vous pouvez envisager de prendre pour protéger votre crédit.

Comment obtenir plus d’informations ? Pour plus d’informations sur cet incident, veuillez nous appeler au 1-833-825-1970 ou nous envoyer un courriel à se_care@vans.com. Comme décrit plus en détail ci-dessous, vous pouvez obtenir des informations auprès de la FTC et des agences d’évaluation du crédit sur les alertes à la fraude et les gels de sécurité.

— VF CORPORATION, Communiqué concernant la fuite de données, Septembre 2022, traduit