Le fabricant d’accessoires Peak Design vient d’être victime d’une fuite de données d’une ampleur considérable, exposant les informations personnelles de plus de 500 000 clients, sur 10 ans, selon le site Cybernews.
Pendant près de 10 ans, d’octobre 2013 à mai 2023, une instance Elasticsearch utilisée par la société californienne Peak Design, contenant des noms, adresses e-mail, adresses postales, détails de commandes ainsi que des demandes effectuées auprès du service client, est restée accessible publiquement, sans aucun mot de passe nécessaire. Elasticsearch est un moteur de recherche et d’analyse open source, permettant de stocker, rechercher et analyser d’énormes volumes de données rapidement en temps réel.
Si aucune donnée financière n’a été compromise, le risque de hameçonnage, d’usurpation d’identité ou de spam demeure bien réel pour les clients concernés. Les clients devraient ainsi être vigilant à tout email provenant de Peak Design, demandant par exemple des informations personnelles. Des chercheurs en cybersécurité ont même découvert une note de rançon, laissant penser que ces précieuses données ont pu être récupérées.
Informé le 25 avril dernier, Peak Design a rapidement sécurisé l’accès à ces informations sensibles. Cependant, aucune communication n’a encore été faite par le fabricant, habitué de Kickstarter, et qui compte parmi une très grande communauté de photographes et voyageurs.
Ainsi, si vous êtes passé par le site internet de Peak Design pour effectuer une commande, avez soutenu une campagne Kickstarter ou bien effectué une demande au service client, soyez vigilant. Si un message vous paraît suspicieux, Peak Design vous conseille de les contacter à [email protected].
Mise à jour le 5 juin 2024 à 18h11 : Peak Design a contacté ses utilisateurs par email suite à cette fuite de données, voici le mail complet (en anglais).
