Panera Bread , Inc., una importante cadena estadounidense de restaurantes informales y panaderías y cafeterías, se informa de haber sido víctima de una brecha de datos después de que el grupo de ciberdelincuencia ShinyHunters afirmara haber filtrado más de 14 millones de registros de clientes y empleados. La afirmación fue publicada en un foro de la dark web por el grupo, que enumera a las presuntas víctimas de sus operaciones de robo de datos.
ShinyHunters es un colectivo de ciberdelincuentes con motivaciones económicas conocido por exfiltrar grandes volúmenes de información personal y organizacional y publicar muestras del material robado cuando no se cumplen las demandas de rescate. En su publicación relacionada con Panera Bread , el grupo incluyó un archivo comprimido que, según él, contiene los datos tomados de los sistemas de la empresa. Este archivo suma, según se informa, unos 19,5 GB de datos que representan aproximadamente 14 millones de registros únicos.
El análisis de los datos de muestra puestos a disposición por el grupo sugiere que incluye información personal identificable como nombres completos, direcciones de correo electrónico, números de teléfono, direcciones residenciales y fechas de nacimiento tanto de clientes como de empleados de Panera Bread . La filtración refleja información recopilada a través de cuentas de clientes y registros internos, en lugar de datos que parecen estar directamente vinculados a números de tarjetas de pago o credenciales financieras. El alcance exacto y la autenticidad del conjunto de datos completo siguen sujetos a revisión continua, y no se ha publicado una verificación independiente de la afirmación completa.
Panera Bread , que opera más de 2.000 restaurantes en Estados Unidos y Canadá, no ha emitido una divulgación pública que confirme la brecha ni que proporcione una evaluación detallada de lo que podría haberse visto afectado. ShinyHunters contactó a la empresa para hacer comentarios tras la afirmación, pero en el momento de la información no se había publicado ninguna declaración corporativa exhaustiva. El incidente ha llamado la atención, dada la magnitud de los datos supuestamente implicados y la sensibilidad de los tipos de información personal incluida.
Los analistas de ciberdelitos señalan que las brechas masivas de este tipo pueden aumentar el riesgo de ataques de phishing, robo de identidad e ingeniería social contra las personas cuya información ha sido expuesta. Las afirmaciones no verificadas publicadas por grupos criminales suelen incluir solo un subconjunto de los supuestos datos como adelanto para coaccionar a las víctimas a que acepten demandas de extorsión. Las organizaciones que aparecen en dichas publicaciones suelen iniciar investigaciones internas y análisis forenses para confirmar si se produjo una brecha y determinar las medidas adecuadas de respuesta a incidentes.
Actualmente, no se han hecho públicos detalles sobre cómo ocurrió la supuesta brecha, si se explotaron vulnerabilidades o se comprometieron las credenciales, y qué acciones Panera Bread se están tomando en respuesta. La situación sigue siendo observada por especialistas en ciberseguridad mientras se evalúan más a fondo la afirmación y sus implicaciones para las personas afectadas.