Panera Bread ABD merkezli büyük bir gündelik yemek ve fırın-kafe zinciri olan , Inc., siber suç grubu ShinyHunters’ın 14 milyondan fazla müşteri ve çalışan kaydını sızdırdığını iddia etmesinin ardından veri ihlali hedefi olduğu bildirildi. Bu iddia, grubun veri hırsızlığı operasyonlarının iddia edilen mağdurlarını listeleyen karanlık web forumunda paylaşıldı.
ShinyHunters, fidye talepleri karşılanmadığında büyük miktarda kişisel ve örgütsel bilgi sızdırmasıyla ve çalınan materyalin örneklerini yayınlamasıyla tanınan, finansal motivasyonlu bir siber suç kolektifidir. Grup, ile ilgili Panera Bread paylaşımında, şirketin sistemlerinden alınan verileri içerdiğini belirttiği sıkıştırılmış bir arşiv ekledi. Bu arşivin yaklaşık 19,5 GB veriye sahip olduğu ve yaklaşık 14 milyon benzersiz kaydı temsil ettiği bildirilmektedir.
Grup tarafından sunulan örnek verilerin analizi, hem müşteriler hem de çalışanlar Panera Bread için tam isimler, e-posta adresleri, telefon numaraları, ev adresleri ve doğum tarihleri gibi kişisel tanımlanabilir bilgileri içerdiğini göstermektedir. Sızıntının, doğrudan ödeme kartı numaraları veya finansal kimlik bilgileriyle bağlantılı görünen verilerden ziyade, müşteri hesapları ve iç kayıtlar aracılığıyla toplanan bilgileri yansıttığı iddia ediliyor. Tam veri setinin tam kapsamı ve orijinalliği devam eden incelemeye tabidir ve tam iddianın bağımsız doğrulanması yayımlanmamıştır.
Panera Bread Amerika Birleşik Devletleri ve Kanada genelinde 2.000’den fazla restoran işleten bir şirket, ihlali doğrulayan veya etkilenmiş olabileceği hakkında ayrıntılı bir değerlendirme sunan bir kamuya açıklama yapmadı. ShinyHunters iddiasının ardından şirketle yorum için iletişime geçildi, ancak rapor sırasında kapsamlı bir kurumsal açıklama yapılmamıştı. Olay, bildirilen verilerin büyüklüğü ve dahil edilen kişisel bilgi türlerinin hassasiyeti göz önüne alındığında dikkat çekti.
Siber suç analistleri, bu tür büyük çaplı ihlallerin bilgileri açığa çıkan bireylere yönelik oltalama saldırıları, kimlik hırsızlığı ve sosyal mühendislik riskini artırabileceğini belirtiyor. Suç grupları tarafından yayımlanan doğrulanmamış iddialar genellikle iddia edilen verilerin yalnızca bir alt kümesini içerir ve mağdurları şantaj taleplerine katılmaya zorlamak için önizleme amacıyla kullanılır. Bu tür ilanlarda listelenen kuruluşlar genellikle bir ihlali olup olmadığını doğrulamak ve uygun olay müdahale önlemlerini belirlemek için iç soruşturmalar ve adli analizler başlatır.
Şu anda, iddia edilen ihlalın, zafiyetlerin nasıl kullanıldığı, kimlik bilgilerinin ele geçirilip ele geçirilmediği ve buna karşılık olarak hangi önlemlerin Panera Bread alındığına dair detaylar kamuoyuna açıklanmadı. Durum, iddianın ve etkilenen bireyler üzerindeki etkilerinin daha ayrıntılı değerlendirilmesi nedeniyle siber güvenlik uzmanları tarafından gözlemlenmektedir.