La marque de cannabis populaire basée à Los Angeles, Stiiizy, a confirmé que des pirates ont accédé à des quantités de données sensibles des clients, y compris des documents délivrés par le gouvernement et des cartes de cannabis médical, lors d'une cyberattaque en novembre.
Dans un avis de violation de données déposé auprès du procureur général de la Californie cette semaine, Stiiizy a déclaré avoir été informé par son fournisseur de traitement de point de vente qu'un "groupe de cybercriminalité organisé" avait compromis les données de certains de ses magasins de détail.
Dans une lettre envoyée aux clients concernés, Stiiizy a confirmé que les pirates informatiques ont acquis des données clients traitées par le fournisseur non nommé entre le 10 octobre et le 10 novembre 2024.
Stiiizy a déclaré que les informations volées comprenaient des informations sur les permis de conduire, les passeports et les cartes de cannabis médical des clients.
Stiiizy, qui exploite 39 magasins à travers les États-Unis, n'a pas encore précisé combien de ses clients ont été affectés, mais a déclaré que l'incident a touché quatre de ses magasins de détail en Californie.
Stiiizy n'a pas confirmé ou décrit la nature de l'incident, mais la start-up de cybersécurité basée au Texas, Halcyon AI, a déclaré dans un article de blog de novembre que l'opérateur de cannabis avait été la cible d'une attaque de ransomware.
Le groupe de ransomwares Everest a revendiqué le crédit de l'attaque cybernétique, selon Halcyon, qui a déclaré que le gang avait volé les informations personnelles, y compris les documents d'identification, de plus de 420 000 clients de Stiiizy.
Dans un post sur son site de fuite dark web, que TechCrunch a vu, Everest affirme avoir publié les données volées chez Stiiizy après que l'entreprise ait "ignoré" ses demandes de rançon.
