Esta empresa possui mais de 2.100 lojas nos Estados Unidos e no Canadá, e permite aos clientes encomendar comida através do website.
A Panera Bread “expôs” os dados dos clientes pelo menos por oito meses depois da primeira notificação que a empresa recebeu relativa à fuga de dados.
Na segunda-feira, o popular especialista em segurança Brian Krebs anunciou um bug que afetou o website da Panera, e que deixou milhões de registos de clientes expostos em texto simples.
Os dados expostos incluíam nomes, endereços de e-mail, endereços físicos, aniversários e os quatro últimos dígitos dos cartões de crédito.
Neste leak, a empresa também “partilhava” o número do cartão de fidelidade da Panera, e que podia ser usado pelos atacantes de forma a gastar contas pré-pagas ou para roubar dinheiro das contas de fidelidade da Panera.
A falha de segurança foi notificada pela primeira vez à Panera Bread pelo investigador de segurança Dylan Houlihan em 2 de agosto de 2017.
Em primeira analise, a equipa de TI não detetou a falha, mas depois de mais alguma investigação, o diretor de tecnologia e segurança Mike Gustavison disse ao investigador que a falha estava resolvida.
Houlihan verificou que o problema não foi corrigido e em 2 de abril informou Brian Krebs.
“Panerabread.com, the Web site for the American chain of bakery-cafe fast casual restaurants by the same name, leaked millions of customer records — including names, email and physical addresses, birthdays and the last four digits of the customer’s credit card number — for at least eight months before it was yanked offline earlier today, KrebsOnSecurity has learned.” states the blog post published by Krebs.
Ao que parece, inicialmente a empresa descartou a falha. Somente depois de Brian Krebs entrar em contato com a Panera Bread, a empresa colocou o site offline.
“It is not clear yet exactly how many Panera customer records may have been exposed by the company’s leaky Web site, but incremental customer numbers indexed by the site suggest that number may be higher than seven million.” continues Krebs.
“It’s also unclear whether any Panera customer account passwords may have been impacted.”
Panera explicou à Fox Business que a fuga de dados afetou apenas cerca de 10.000 registos, mas o especialista da Hold Security estima que o número de contas afetadas é de aproximadamente 37 milhões.
Fonte: https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.