La widespread marca de hashish Stiiizy, con sede en Los Ángeles, ha confirmado que los piratas informáticos accedieron a una gran cantidad de datos confidenciales de clientes, incluidos documentos emitidos por el gobierno y tarjetas de hashish medicinal, durante un ciberataque en noviembre.
En un aviso de violación de datos Presentado ante el fiscal basic de California esta semana, Stiiizy dijo que su proveedor de procesamiento de punto de venta le notificó que un “grupo organizado de cibercrimen” había comprometido los datos de algunas de sus tiendas minoristas.
En una carta enviada a los clientes afectados, Stiiizy confirmó que los piratas informáticos adquirieron los datos de los clientes procesados por el proveedor anónimo entre el 10 de octubre y el 10 de noviembre de 2024.
Stiiizy dijo que la información robada incluía información sobre las licencias de conducir, pasaportes y tarjetas de hashish medicinal de los clientes. Los piratas informáticos también accedieron a nombres de clientes, direcciones, fechas de nacimiento, datos de transacciones y otra información private no especificada.
Stiiizy, que opera 39 tiendas en todo Estados Unidos, aún no ha dicho cuántos de sus clientes se vieron afectados, pero dijo que el incidente afectó a cuatro de sus tiendas minoristas en California. Stiiizy no respondió a las preguntas de TechCrunch.
Stiiizy no ha confirmado ni descrito la naturaleza del incidente, pero la startup de ciberseguridad Halcyon AI, con sede en Texas, dijo en un entrada del blog de noviembre que el operador de hashish había sido objeto de un ataque de ransomware.
El grupo de ransomware Everest se atribuyó el mérito del ciberataque, según Halcyon, que dijo que la banda había robado la información private, incluidos documentos de identificación, de más de 420.000 clientes de Stiiizy.
En una publicación en su sitio de filtración en la internet oscura, que TechCrunch ha visto, Everest afirma haber publicado los datos robados de Stiiizy después de que la compañía “ignoró” sus demandas de rescate.