Die beliebte Cannabismarke Stiiizy mit Sitz in Los Angeles bestätigte, dass Hacker während eines Cyberangriffs im November auf Unmengen sensibler Kundendaten, darunter von der Regierung ausgestellte Dokumente und medizinische Cannabiskarten, zugegriffen haben.
In eine Benachrichtigung über eine Datenschutzverletzung Stiiizy, der diese Woche beim kalifornischen Generalstaatsanwalt eingereicht wurde, sagte, es sei von seinem Point-of-Sale-Verarbeitungsanbieter darüber informiert worden, dass eine „organisierte Cyberkriminalitätsgruppe“ Daten von einigen seiner Einzelhandelsstandorte kompromittiert habe.
In einem Brief an betroffene Kunden bestätigte Stiiizy, dass Hacker zwischen dem 10. Oktober und dem 10. November 2024 verarbeitete Kundendaten von dem nicht identifizierten Anbieter erlangt haben.
Stiiizy sagte, zu den gestohlenen Informationen gehörten Informationen über Führerscheine, Reisepässe und medizinische Cannabiskarten der Kunden. Hacker griffen auch auf Kundennamen, Adressen, Geburtsdaten, Transaktionsdaten und andere nicht näher bezeichnete persönliche Informationen zu.
Stiiizy, das 39 Geschäfte in den Vereinigten Staaten betreibt, hat noch nicht gesagt, wie viele seiner Kunden betroffen waren, sagte aber, dass der Vorfall vier seiner Geschäfte in Kalifornien betroffen habe. Stiiizy antwortete nicht auf die Fragen von TechCrunch.
Stiiizy bestätigte oder beschrieb die Art des Vorfalls nicht, aber das in Texas ansässige Cybersicherheits-Startup Halcyon AI sagte in einem November-Blogbeitrag dass der Cannabisbetreiber das Ziel eines Ransomware-Angriffs war.
Laut Halcyon beanspruchte die Ransomware-Gruppe Everest die Verantwortung für den Cyberangriff und sagte, die Bande habe persönliche Daten, darunter Ausweisdokumente, von mehr als 420.000 Stiiizy-Kunden gestohlen.
In einem Beitrag auf seiner Dark-Web-Leak-Site, den TechCrunch gesehen hat, behauptet Everest, die gestohlenen Daten von Stiiizy veröffentlicht zu haben, nachdem das Unternehmen seine Lösegeldforderungen „ignoriert“ hatte.
