Starbucks a récemment informé un groupe de ses travailleurs d'une intrusion qui a affecté les comptes de Central Partner, la plateforme que les employés utilisent pour gérer l'information et les avantages professionnels. Dans les documents soumis au Procureur général du Maine et renvoyés aux personnes concernées, la société explique que l'enquête menée conjointement avec des experts externes a permis de déterminer que les agresseurs ont obtenu des justificatifs par le biais de sites Web qui ont simulé la page d'accès, et qu'ils ont ensuite accédé à des comptes internes.
L'enquête a permis d'identifier 889 comptes de partenaires centraux engagés, et Starbucks signale que les pouvoirs ont été utilisés entre le 19 janvier et le 11 février, bien que la compagnie affirme avoir détecté une activité suspecte le 6 février. Cette différence entre la détection et la suppression complète des accès - cinq jours durant lesquels les agresseurs ont maintenu leur présence selon les dossiers - est l'un des inconnus laissés non clarifiés dans la communication publique de la compagnie. La notification présentée dans le Maine est disponible sur le portail de l'accusation: document officiel, et le personnel de l'avis envoyé aux employés est disponible à DocumentCloud.
Bien que 889 comptes représentent une petite fraction par rapport au modèle global Starbucks - l'entreprise emploie plus de 380 000 "partenaires" et exploite des dizaines de milliers de locaux à travers le monde - la portée du matériel filtré est sensible. Les données présentées comprennent les noms, les numéros de sécurité sociale, les dates de naissance et de compte et les numéros d'itinéraire bancaire. l'information qui peut fournir la fraude financière et usurper l'identité si elle tombe entre de mauvaises mains.
Starbucks a signalé qu'il a alerté les forces de sécurité et qu'il offrira aux personnes concernées deux ans de protection contre le vol d'identité et la surveillance du crédit par Experian IdentityWorks. La mesure de couverture de crédit est courante après de tels incidents, mais elle n'empêche pas les victimes d'être attentives aux mouvements financiers inhabituels ou aux tentatives de fraude qui peuvent survenir au cours des mois suivants. Pour de plus amples renseignements sur la façon d'agir en cas de vol présumé d'identité, veuillez consulter le guide de la Federal Trade Commission des États-Unis : Vol d'identité.gov.
Selon l'enquête mentionnée dans la notification, les pirates n'exploitaient pas une vulnérabilité technique du système, mais profitaient des titres de compétence obtenus par des pages frauduleuses qui imitaient le portail des employés. Ce type de technique, connu sous le nom de phishing avec de fausses pages de connexion, reste l'une des voies d'entrée les plus efficaces pour les criminels. Les autorités et les centres de cybersécurité recommandent des mesures telles que la vérification des URL, la formation à la détection des courriels malveillants et l'utilisation de l'authentification multifactorielle pour réduire l'efficacité de ces attaques. Les États-Unis (CISA) fournissent des conseils pratiques sur ce risque : recommandations contre le phishing.
Cet incident s'ajoute à un contexte problématique pour le groupe : en 2022, la filiale de Singapour a confirmé une fuite qui a touché des centaines de milliers de clients lorsqu'un fournisseur tiers était engagé, et en 2024 la chaîne a subi un impact secondaire par une attaque de Ransomware sur Blue Yonder, son fournisseur de logiciels de chaîne d'approvisionnement, qui a interrompu les opérations à certains moments. Un résumé de l'impact de l'interruption suite à l'attaque des fournisseurs peut être lu dans le rapport de nouvelles internationales: Couverture de Reuters.
Pour les personnes concernées, la recommandation immédiate est double : d'une part, surveiller attentivement les relevés bancaires et notifier à la banque les éventuels frais non autorisés; d'autre part, renforcer les pouvoirs personnels liés aux services critiques et activer l'authentification en deux étapes chaque fois que possible. Bien que l'entreprise fournisse des services de surveillance, la prévention et les interventions précoces individuelles demeurent fondamentales.
D'un point de vue organisationnel, ce cas souligne à nouveau pourquoi il est nécessaire de ne pas se fier uniquement aux mots de passe. La mise en place de contrôles d'accès plus stricts, la détection rapide de modèles inhabituels et l'élimination agile des titres de compétence engagés sont des mesures qui réduisent le temps qu'un attaquant peut se déplacer dans un environnement. Starbucks a indiqué qu'à la suite de l'incident, elle a renforcé les contrôles liés à l'accès au partenaire central, mais la compagnie n'a pas fourni de calendrier détaillé ni d'explication expliquant pourquoi la suppression totale de l'accès n'était pas immédiate.
Dans le domaine des communications, les entreprises qui traitent de grandes données à caractère personnel ont l'obligation légale et éthique de notifier les autorités et les intéressés de manière transparente et rapide. Les documents Starbucks présentés dans le Maine permettent aux employés de connaître le type d'information engagée et les mesures offertes par l'entreprise, mais la confiance est également construite avec des réponses claires aux causes, la portée et les améliorations permanentes de la sécurité.
Bref, bien que le nombre de comptes engagés dans cet épisode soit limité en proportion de l'ensemble du personnel, la sensibilité des dossiers implique des risques réels pour les travailleurs et soulève des questions sur la détection et la médiation. Le cas de Starbucks rappelle que même les organisations disposant de vastes ressources demeurent des objectifs attrayants et que la nature humaine - la facilité avec laquelle un titre peut être cédé à un faux site - demeure le maillon le plus faible de la chaîne de cybersécurité.
Pour ceux qui veulent approfondir les documents officiels et les nouvelles connexes, ils peuvent examiner la notification au ministère public du Maine ( voir document), le modèle d'avis DocumentCloud, la couverture des interruptions par les attaques contre les fournisseurs Reuters et recours en cas de vol d ' identité Vol d'identité.gov. Les lignes directrices sur la prévention du phishing sont également disponibles sur le site Web de la CISA: conseils anti-phishing.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...