Компания игнорировала предупреждения о взломе и не предупредила клиентов о массовой краже с их счетов.
Американская сеть кондитерских закусочных Dunkin' Donuts урегулировала судебный спор относительно обвинения в том, что компания скрыла факт взлома своей сети и кражи персональных данных клиентов.
Речь идет об инциденте пятилетней давности, когда злоумышленники взломали аккаунты тысяч клиентов Dunkin' Donuts с помощью атаки credential-stuffing (перебор паролей), похитили личные данные, а затем выставили информацию на продажу на подпольных хакерских форумах. Предлагаемая информация включала в том числе данные примерно 20 тыс. карт лояльности Dunkin' (карты, которые клиенты могут пополнять и использовать их для оплаты кофе и еды в сети закусочных). Эти карты неоднократно перепродавались в даркнете, и использовались злоумышленниками для того, чтобы «бесплатно» получить кофе и прочую снедь.
По словам
https://ag.ny.gov/press-release/2020...cked-customers, руководство Dunkin' Donuts неоднократно игнорировало сообщения от сторонних разработчиков о попытках авторизации в учетных записях. Как отмечается, разработчики даже предоставили компании список, включающий порядка 20 тыс. аккаунтов, скомпрометированных хакерами всего за пять дней. Более того, Dunkin' Donuts не предупредила клиентов о массовых кражах со счетов.
Dunkin' Donuts замалчивала инцидент на протяжении трех лет, причем ни одна из скомпрометированных учетных записей не была заморожена и не подверглась смене пароля. Об утечке стало известно только в 2018 году, а годом позднее американские власти подали иск против Dunkin' Donuts, обвинив ее в нарушении законов об утечках данных и защите прав потребителей. По данным прокуратуры, на протяжении судебного разбирательства были выявлены тысячи новых взломанных учетных записей.
В рамках соглашения Dunkin' Donuts должна возместить ущерб своим клиентам, а также выплатить штату Нью-Йорк штраф в размере $650 тыс.
03-15-2025, 12:05 PM
Hybrid Mode
