El gigante de la ropa J.Crew dijo que a un número desconocido de clientes tenían acceso a sus cuentas en línea "por una parte no autorizada" hace casi un año, pero solo ahora está revelando el incidente.
La empresa dijo en una presentación el martes con el fiscal general de California que el pirata informático obtuvo acceso a las cuentas de los clientes en o alrededor de abril de 2019.
Según la carta, el pirata informático obtuvo información que se encuentra en las cuentas en línea de los clientes, incluidos los tipos de tarjeta, los últimos cuatro dígitos de los números de pago de la tarjeta, las fechas de vencimiento y las direcciones de facturación asociadas. Las cuentas en línea también almacenan números de pedido de clientes, números de confirmación de envío y estados de envío.
Un portavoz de la compañía confirmó que el hacker usó una técnica conocida como relleno de credenciales, donde los conjuntos existentes de nombres de usuario y contraseñas expuestos o violados se comparan con diferentes sitios web para acceder a las cuentas.
El portavoz dijo que un "pequeño número" de clientes se vieron afectados, pero no dijo específicamente cuántos.
Las compañías que operan en el estado tienen el mandato de advertir a la oficina del fiscal general del estado de incidentes de seguridad que involucren a más de 500 residentes de California. La carta a la oficina del fiscal general dice que es una notificación "multiestatal", que indica que los clientes en otros estados también se ven afectados.
Una pregunta más grande y sin respuesta es por qué le tomó a J. Crew casi un año detectar y revelar el incidente a reguladores y clientes.
El portavoz dijo que el "escaneo web de rutina" detectó el acceso inadecuado y que los clientes fueron "notificados de inmediato". No se sabe cuándo se realizó el escaneo o por qué las infracciones de la cuenta no se detectaron antes. Según las leyes de California y Nueva York, donde J.Crew tiene su sede central, no existe un período de tiempo específico bajo el cual una empresa debe revelar una violación, solo que los clientes son notificados en "el tiempo más oportuno posible y sin demoras irrazonables".
J.Crew se convierte en el último de una serie de compañías que divulgan incidentes de seguridad como resultado del relleno de credenciales. Fabricante de timbres propiedad de Amazon anillo, Chipotle, Spotify y servicio de transmisión de juegos Contracción nerviosa Todos los clientes han visto quejas de infracciones de cuenta en el último año.