Dunkin' Donuts оштрафована на $650 тыс. за сокрытие взлома в 2015 году

Dunkin' Donuts оштрафована на $650 тыс. за сокрытие взлома в 2015 году

Компания игнорировала предупреждения о взломе и не предупредила клиентов о массовой краже с их счетов.

image

Американская сеть кондитерских закусочных Dunkin' Donuts урегулировала судебный спор относительно обвинения в том, что компания скрыла факт взлома своей сети и кражи персональных данных клиентов.

Речь идет об инциденте пятилетней давности, когда злоумышленники взломали аккаунты тысяч клиентов Dunkin' Donuts с помощью атаки credential-stuffing (перебор паролей), похитили личные данные, а затем выставили информацию на продажу на подпольных хакерских форумах. Предлагаемая информация включала в том числе данные примерно 20 тыс. карт лояльности Dunkin' (карты, которые клиенты могут пополнять и использовать их для оплаты кофе и еды в сети закусочных). Эти карты неоднократно перепродавались в даркнете, и использовались злоумышленниками для того, чтобы «бесплатно» получить кофе и прочую снедь.

По словам прокуратуры , руководство Dunkin' Donuts неоднократно игнорировало сообщения от сторонних разработчиков о попытках авторизации в учетных записях. Как отмечается, разработчики даже предоставили компании список, включающий порядка 20 тыс. аккаунтов, скомпрометированных хакерами всего за пять дней. Более того, Dunkin' Donuts не предупредила клиентов о массовых кражах со счетов.

Dunkin' Donuts замалчивала инцидент на протяжении трех лет, причем ни одна из скомпрометированных учетных записей не была заморожена и не подверглась смене пароля. Об утечке стало известно только в 2018 году, а годом позднее американские власти подали иск против Dunkin' Donuts, обвинив ее в нарушении законов об утечках данных и защите прав потребителей. По данным прокуратуры, на протяжении судебного разбирательства были выявлены тысячи новых взломанных учетных записей.

В рамках соглашения Dunkin' Donuts должна возместить ущерб своим клиентам, а также выплатить штату Нью-Йорк штраф в размере $650 тыс.

Дата: 2020-09-16 13:44:10

Источник: https://www.securitylab.ru/news/512175.php