Acrimed a informé ses utilisateurs d’une cyberattaque ayant touché le site de sa boutique en ligne, avec compromission de certaines données personnelles.
Dans un message adressé aux personnes concernées, l’organisation indique qu’une fuite de données a été détectée et que la violation a été notifiée à la CNIL.
Des données clients compromises
Selon la communication transmise, les données concernées sont :
- Adresse email
- Mot de passe chiffré
- Historique des commandes passées
Acrimed précise en revanche que les informations bancaires ainsi que les données personnelles telles que nom, prénom, adresse postale et téléphone ne seraient pas concernées.
Mesures prises après l’attaque
L’organisation indique avoir temporairement mis la boutique hors ligne afin d’analyser l’incident et renforcer la sécurité de ses systèmes.
Les comptes inactifs depuis 2017 ou avant ont également été supprimés dans le cadre des mesures de précaution annoncées.
Quels risques pour les utilisateurs ?
Même chiffrés, les mots de passe exposés peuvent représenter un risque selon leur niveau de protection et leur réutilisation éventuelle sur d’autres services.
- Réutilisation de mot de passe sur d’autres sites
- Phishing se faisant passer pour Acrimed
- Spam ciblé
- Exposition de l’historique d’achats
Recommandations transmises
Acrimed recommande aux utilisateurs de modifier tout mot de passe identique utilisé sur d’autres plateformes et d’être vigilants face aux emails frauduleux prétendant provenir de l’organisation.
Cette affaire rappelle que même des structures de taille modeste restent exposées aux cyberattaques visant les boutiques en ligne et bases clients.