Panera Bread , Inc., une grande chaîne américaine de restauration décontractée et de boulangeries-cafés, aurait été la cible d’une violation de données après que le groupe de cybercriminalité ShinyHunters a affirmé avoir divulgué plus de 14 millions de dossiers clients et employés. L’affirmation a été publiée sur un forum du dark web par le groupe, qui liste les victimes présumées de ses opérations de vol de données.
ShinyHunters est un collectif de cybercriminels à motivation financière connu pour exfiltrer de grands volumes d’informations personnelles et organisationnelles et publier des échantillons de ces documents volés lorsque les demandes de rançon ne sont pas satisfaites. Dans sa publication concernant Panera Bread , le groupe a inclus une archive compressée qu’il a dit contenir les données extraites des systèmes de l’entreprise. Cette archive représente environ 19,5 Go de données représentant environ 14 millions d’enregistrements uniques.
L’analyse des données d’échantillon mises à disposition par le groupe suggère qu’il inclut des informations personnelles identifiables telles que les noms complets, adresses e-mail, numéros de téléphone, adresses domiciliaires et dates de naissance pour les clients et les employés de Panera Bread . La fuite refléterait apparemment des informations collectées via des comptes clients et des dossiers internes, plutôt que des données directement liées à des numéros de carte de paiement ou des références financières. La portée exacte et l’authenticité de l’ensemble de données restent sujettes à un examen continu, et une vérification indépendante de l’affirmation complète n’a pas été publiée.
Panera Bread , qui exploite plus de 2 000 restaurants à travers les États-Unis et le Canada, n’a pas publié de divulgation publique confirmant la violation ni fourni d’évaluation détaillée de ce qui aurait pu être affecté. L’entreprise a été contactée pour commenter à la suite de cette affirmation par ShinyHunters, mais au moment de la réponse, aucune déclaration d’entreprise complète n’avait été publiée. L’incident a attiré l’attention, compte tenu de l’ampleur des données rapportées et de la sensibilité des types d’informations personnelles incluses.
Les analystes en cybercriminalité notent que des violations à grande échelle de ce type peuvent augmenter le risque d’attaques de phishing, de vol d’identité et d’ingénierie sociale contre les personnes dont les informations ont été exposées. Les allégations non vérifiées publiées par des groupes criminels incluent souvent seulement un sous-ensemble des données alléguées comme avant-goût pour contraindre les victimes à s’engager dans des demandes d’extorsion. Les organisations listées dans ces publications entament généralement des enquêtes internes et des analyses médico-légales pour confirmer si une violation a eu lieu et déterminer les mesures appropriées de réponse aux incidents.
À l’heure actuelle, les détails sur la manière dont la violation présumée s’est produite, si les vulnérabilités ont été exploitées ou si les identifiants ont été compromis, ainsi que les actions Panera Bread prises en réponse n’ont pas été rendus publics. La situation reste sous observation par des spécialistes de la cybersécurité alors que la réclamation et ses implications pour les personnes concernées sont approfondiment évaluées.