O Dunkin ‘Donuts alertou os clientes sobre uma violação de dados que pode afetar as pessoas que se inscreveram no DD Perks, o programa de loyalty da empresa.
A rede de restaurantes descobriu em 31 de outubro que os criminosos vazaram informações, incluindo o nome de utilizador e password pertencentes aos clientes da Dunkin através de um incidente de credentials stuffing.
Estes ataques ocorrem quando os cibercriminosos obtêm informações de credenciais vazadas em outras violações de dados e, em seguida, testam esses dados em outros websites, compromentendo os utilizadores descuidados que reutilizam a mesma password em vários websites.
“Our security vendor was successful in stopping most of these attempts, but it is possible that these third-parties may have succeeded in logging in to your DD Perks account if you used your DD Perks username and password for accounts unrelated to Dunkin’,” the company said in a statement.
Os dados comprometidos incluíam os nomes e sobrenomes dos clientes, os endereços de e-mail, o número de conta DD Perks de 16 dígitos e o código QR do DD Perks. A Dunkin não divulgou o número de clientes impactados pela violação.
Este tipo de ataque traz bastante retorno para os criminosos na dark/deep web, uma vez que conseguem vender as informações a um bom preço. Normalmente são transacionadas milhas aéreas, cartões de crédito, ou outras informações relacionadas com criptomoedas.
Credential stuffing está a tornar-se o método favorito dos criminosos para vazar dados de outras infraestruturas, pois o problema da utilização da mesma palavra-passe em diferentes infraestruturas é uma realidade bastante atual e um dos grandes desafios para combater do método fraco de autenticação utilizador-password.
De acordo com a empresa Akamai, algumas empresas enfretam atualmente uma média de 3.75 bilhões de tentativas de login (brute-force).