Panera Bread , Inc., een grote Amerikaanse keten van casual dining en bakkerij-cafés, zou het doelwit zijn geweest van een datalek nadat de cybercrimegroep ShinyHunters beweerde meer dan 14 miljoen klant- en werknemersgegevens te hebben gelekt. De bewering werd door de groep geplaatst op een dark-web forum, waarin vermeende slachtoffers van haar datadiefstaloperaties worden vermeld.
ShinyHunters is een financieel gemotiveerd cybercrimineel collectief dat bekendstaat om het exfiltreren van grote hoeveelheden persoonlijke en organisatorische informatie en het publiceren van monsters van gestolen materiaal wanneer losgeldeisen niet worden ingewilligd. In zijn bericht gerelateerd aan Panera Bread , voegde de groep een gecomprimeerd archief toe waarvan ze zeiden dat het de gegevens bevat die afkomstig zijn van de systemen van het bedrijf. Dit archief bedraagt naar verluidt ongeveer 19,5 GB aan gegevens, wat ongeveer 14 miljoen unieke records vertegenwoordigt.
Analyse van de steekproefgegevens die door de groep beschikbaar zijn gesteld, suggereert dat deze persoonlijk identificeerbare informatie bevat zoals volledige namen, e-mailadressen, telefoonnummers, thuisadressen en geboortedata van zowel klanten als medewerkers van Panera Bread . Het lek zou informatie weerspiegelen die is verzameld via klantaccounts en interne gegevens, in plaats van gegevens die direct gekoppeld lijken te zijn aan betaalkaartnummers of financiële gegevens. De exacte omvang en authenticiteit van de volledige dataset blijven onderhevig aan voortdurende beoordeling, en onafhankelijke verificatie van de volledige claim is niet gepubliceerd.
Panera Bread , dat meer dan 2.000 restaurants exploiteert in de Verenigde Staten en Canada, heeft geen openbare verklaring uitgegeven ter bevestiging van de inbreuk of een gedetailleerde beoordeling van wat mogelijk is getroffen. Het bedrijf werd door ShinyHunters om commentaar benaderd na de bewering, maar op het moment van de rapportage was er nog geen volledige bedrijfsverklaring vrijgegeven. Het incident heeft aandacht getrokken, gezien de omvang van de gegevens die naar verluidt betrokken zijn en de gevoeligheid van de soorten persoonlijke informatie die wordt opgenomen.
Cybercrime-analisten merken op dat grootschalige datalekken van dit soort het risico op phishingaanvallen, identiteitsdiefstal en social engineering tegen de personen van wie de informatie is blootgesteld, kunnen verhogen. Niet-geverifieerde claims die door criminele groepen worden gepubliceerd, bevatten vaak slechts een deel van de vermeende gegevens als voorproefje om slachtoffers te dwingen zich in te zetten voor afpersingseisen. Organisaties die in dergelijke vacatures worden vermeld, beginnen doorgaans interne onderzoeken en forensische analyses om te bevestigen of er sprake is geweest van een inbreuk en om de juiste incidentresponsmaatregelen vast te stellen.
Op dit moment zijn details over hoe de vermeende inbreuk heeft plaatsgevonden, of kwetsbaarheden zijn misbruikt of inloggegevens zijn gecompromitteerd, en welke acties Panera Bread als reactie worden ondernomen, niet openbaar gemaakt. De situatie wordt nog steeds geobserveerd door cybersecurity-specialisten terwijl de claim en de implicaties voor de getroffenen worden verder beoordeeld.