Panera Bread , Inc., eine große US-amerikanische Casual-Dining- und Bäckerei-Café-Kette, soll Ziel einer Datenpanne gewesen sein, nachdem die Cyberkriminalitätsgruppe ShinyHunters behauptet hatte, mehr als 14 Millionen Kunden- und Mitarbeiterdaten durchgesickert zu haben. Die Behauptung wurde von der Gruppe in einem Dark-Web-Forum veröffentlicht, das mutmaßliche Opfer ihrer Datendiebstahlsoperationen auflistet.
ShinyHunters ist ein finanziell motiviertes Cyberkriminelles Kollektiv, das dafür bekannt ist, große Mengen persönlicher und organisatorischer Informationen zu extrahieren und Proben gestohlenen Materials zu veröffentlichen, wenn Lösegeldforderungen nicht erfüllt werden. In ihrem Beitrag zu Panera Bread , fügte die Gruppe ein komprimiertes Archiv hinzu, das laut ihr die Daten enthält, die aus den Systemen des Unternehmens stammen. Dieses Archiv umfasst Berichten zufolge etwa 19,5 GB Daten, die etwa 14 Millionen eindeutige Datensätze repräsentieren.
Die Analyse der von der Gruppe bereitgestellten Stichprobendaten legt nahe, dass sie personenbezogene Daten wie vollständige Namen, E-Mail-Adressen, Telefonnummern, Wohnadressen und Geburtsdaten sowohl von Kunden als auch von Mitarbeitern enthält Panera Bread . Das Leck soll Berichten zufolge Informationen widerspiegeln, die über Kundenkonten und interne Unterlagen gesammelt wurden, und nicht Daten, die offenbar direkt mit Zahlungskartennummern oder finanziellen Zugangsdaten verknüpft sind. Der genaue Umfang und die Echtheit des vollständigen Datensatzes unterliegen weiterhin einer laufenden Prüfung, und eine unabhängige Überprüfung der vollständigen Behauptung wurde nicht veröffentlicht.
Panera Bread , das mehr als 2.000 Restaurants in den Vereinigten Staaten und Kanada betreibt, hat keine öffentliche Offenlegung veröffentlicht, die die Verletzung bestätigt oder eine detaillierte Einschätzung dessen liefert, was betroffen sein könnte. Das Unternehmen wurde nach der Behauptung von ShinyHunters um eine Stellungnahme kontaktiert, aber zum Zeitpunkt der Berichterstattung war noch keine umfassende Unternehmenserklärung veröffentlicht worden. Der Vorfall hat Aufmerksamkeit erregt, angesichts des Umfangs der angeblich beteiligten Daten und der Sensibilität der Arten personenbezogener Informationen.
Cybercrime-Analysten stellen fest, dass groß angelegte Sicherheitsverletzungen dieser Art das Risiko von Phishing-Angriffen, Identitätsdiebstahl und Social Engineering gegenüber den Personen erhöhen können, deren Informationen offengelegt wurden. Unverifizierte Behauptungen, die von kriminellen Gruppen veröffentlicht werden, enthalten oft nur eine Teilmenge der angeblichen Daten als Vorschau, um die Opfer zu Erpressungsforderungen zu zwingen. Die in solchen Ausschreibungen aufgeführten Organisationen beginnen in der Regel interne Untersuchungen und forensische Analysen, um festzustellen, ob ein Vorfall vorliegt, und um geeignete Maßnahmen zur Reaktion auf Vorfälle zu bestimmen.
Derzeit wurden Details darüber, wie der angebliche Vorfall stattgefunden hat, ob Schwachstellen ausgenutzt oder Zugangsdaten kompromittiert wurden und welche Panera Bread Maßnahmen als Reaktion darauf ergriffen werden, nicht veröffentlicht. Die Situation wird weiterhin von Cybersicherheitsspezialisten beobachtet, während die Behauptung und ihre Auswirkungen auf die betroffenen Personen weiter bewertet werden.