Le 7 janvier dernier, le site de seconde main de l’enseigne de prêt-à-porter Kiabi a été victime d’une cyberattaque par « credential stuffing ». Cette technique permet aux pirates d’utiliser des identifiants récupérés lors de fuites de données sur d’autres sites pour accéder à des comptes ciblés. En conséquence, les données personnelles de 20 000 clients, dont leurs noms, prénoms, dates de naissance, coordonnées et IBAN, ont été compromises.
Kiabi a rapidement pris des mesures pour contrer l’attaque. Une fonctionnalité de masquage des IBAN a été mise en place pour prévenir toute exploitation future de ces informations sensibles. Par ailleurs, l’ensemble des mots de passe des clients concernés a été réinitialisé pour renforcer la sécurité de leurs comptes.
L’enseigne a confirmé que le RIB, contenant des informations plus détaillées que l’IBAN, n’a pas été dérobé. Le site principal de Kiabi, Kiabi.com, n’a pas été impacté par cette attaque. Seul le site de seconde main, utilisé pour l’achat et la revente de vêtements d’occasion, a été touché.
Conformément à la réglementation, les clients concernés ont été informés de la situation. Kiabi a tenu à rappeler que la protection des données de ses clients est une priorité, et que des mesures supplémentaires sont en cours pour renforcer la sécurité. Cette cyberattaque s’inscrit dans une série d’incidents similaires ayant récemment touché plusieurs entreprises françaises, telles qu’Auchan et Free, mettant en lumière les défis croissants liés à la cybersécurité.