MyDeal, qui appartient majoritairement à Woolworths, a aujourd’hui « identifié qu’un identifiant d’utilisateur compromis avait été utilisé pour obtenir un accès non autorisé à son système de gestion de la relation client (CRM), entraînant l’exposition de certaines données client ».
La société est en train de contacter par e-mail les quelque 2,2 millions de personnes concernées, a déclaré Woolworths dans un communiqué.
Les données consultées comprennent les noms des clients, les adresses e-mail, les numéros de téléphone, les adresses de livraison et, dans certains cas, la date de naissance du client pour toute personne qui a dû prouver son âge lors de l’achat d’alcool.
Pour 1,2 million de clients, seules leurs adresses e-mail ont été exposées, a indiqué la société.
« MyDeal ne stocke pas les détails de paiement, de permis de conduire ou de passeport et aucun mot de passe de compte client ou détail de paiement n’a été compromis dans cette violation », a déclaré Woolworths.
Il a déclaré que le site Web et l’application Mydeal.com.au n’avaient pas été touchés.
Il n’y a également eu « aucun compromis sur les autres plates-formes du groupe Woolworths ou les enregistrements des clients du groupe Woolworths ou des récompenses quotidiennes ».
« Nous nous excusons pour l’inquiétude considérable que cela causera à nos clients concernés », a déclaré le PDG de MyDeal, Sean Senvirtne.
« Nous avons agi rapidement pour identifier et atténuer les accès non autorisés et avons renforcé la surveillance des réseaux.
« Nous continuerons à travailler avec les autorités compétentes pendant que nous enquêtons sur l’incident et nous tiendrons nos clients pleinement informés de toute nouvelle mise à jour les concernant. »
Le responsable de la sécurité du groupe Woolworths, Pieter van der Merwe, a déclaré que « les équipes de cybersécurité et de confidentialité de l’entreprise sont pleinement engagées et travaillent en étroite collaboration avec MyDeal pour soutenir la réponse ».
Les clients qui ne sont pas contactés n’ont pas eu accès à leurs coordonnées, a déclaré Woolworths.
On estime que 2,1 millions de ces clients se sont fait voler des informations d’identification personnelles, dont 150 000 passeports et 50 000 numéros d’assurance-maladie.
L’organisme de surveillance du gouvernement a depuis lancé une enquête sur la manière dont l’entreprise a géré la cyberattaque.
Telstra a également connu une « petite violation », tandis que Medibank a également signalé avoir détecté une activité inhabituelle, mais a déclaré qu’elle n’avait pas été piratée.