Panera Bread , Inc., una grande catena statunitense di ristorazione casual e paneteria-caffè, sarebbe stata bersaglio di una violazione dei dati dopo che il gruppo di cybercrimini ShinyHunters ha dichiarato di aver fatto trapelare oltre 14 milioni di registri di clienti e dipendenti. La denuncia è stata pubblicata su un forum del dark web dal gruppo, che elenca presunte vittime delle sue operazioni di furto di dati.
ShinyHunters è un collettivo di criminali informatici motivati finanziariamente noto per aver estratto grandi volumi di informazioni personali e organizzative e per pubblicare campioni del materiale rubato quando le richieste di riscatto non vengono soddisfatte. Nel suo post relativo a Panera Bread , il gruppo ha incluso un archivio compresso che, secondo lui, contiene i dati estratti dai sistemi dell’azienda. Questo archivio si dice che ammonta a circa 19,5 GB di dati, rappresentando circa 14 milioni di record unici.
L’analisi dei dati campione messi a disposizione dal gruppo suggerisce che includano informazioni personali identificabili come nomi completi, indirizzi email, numeri di telefono, indirizzi di casa e date di nascita sia per clienti che dipendenti di Panera Bread . La fuga di notizie riflette informazioni raccolte tramite account clienti e registri interni, piuttosto che dati che sembrano direttamente collegati a numeri di carte di pagamento o credenziali finanziarie. L’esatto ambito e l’autenticità dell’intero dataset restano soggetti a revisione continua e la verifica indipendente dell’intera affermazione non è stata pubblicata.
Panera Bread , che gestisce più di 2.000 ristoranti negli Stati Uniti e in Canada, non ha rilasciato una divulgazione pubblica che confermi la violazione né fornisca una valutazione dettagliata di ciò che potrebbe essere stato colpito. L’azienda è stata contattata per un commento dopo la dichiarazione da parte di ShinyHunters, ma al momento della segnalazione non era stata rilasciata alcuna dichiarazione aziendale completa. L’incidente ha attirato l’attenzione, data la portata dei dati presumibilmente coinvolti e la sensibilità dei tipi di informazioni personali incluse.
Gli analisti della criminalità informatica osservano che violazioni su larga scala di questo tipo possono aumentare il rischio di attacchi di phishing, furto d’identità e ingegneria sociale contro le persone le cui informazioni sono state esposte. Le affermazioni non verificate pubblicate da gruppi criminali spesso includono solo una parte dei dati presunti come anteprima per costringere le vittime a partecipare a richieste di estorsione. Le organizzazioni elencate in tali annunci di solito avviano indagini interne e analisi forensi per confermare se si è verificata una violazione e per determinare le misure di risposta agli incidenti appropriate.
Attualmente, i dettagli su come si sia verificata la presunta violazione, se le vulnerabilità siano state sfruttate o le credenziali compromesse, e quali azioni Panera Bread stiano intraprendendo in risposta non sono stati resi pubblici. La situazione rimane sotto osservazione da parte degli specialisti della cybersecurity mentre la richiesta e le sue implicazioni per gli individui interessati vengono ulteriormente valutate.