El grupo de hackers cazadoresbrillantes está en eso de nuevo.
Esta vez, son los clientes de la cadena de panaderías Panera Bread quienes han visto sus datos privados comprometidos. Esto parece ser parte de la misma infracción que informamos a principios de esta semana, que apuntaba a los usuarios de Match Group.
En su sitio internet a principios de esta semana, ShinyHunters confirmó que están detrás de una violación de datos de Panera Bread que resultó en el robo de más de 14 millones de registros de clientes. Según se informa, los datos robados incluyen nombres de clientes, direcciones de correo electrónico, números de teléfono, direcciones particulares y detalles de la cuenta.
Panera Bread ha desde entonces confirmado la violación de datos.
La compañía describió los datos comprometidos como “información de contacto” en un comunicado a Bloomberg. Panera dijo que desde entonces se comunicó con la policía y tomó medidas para abordar el incidente.
“La filtración de datos de Panera Bread será devastadora para los afectados”, afirmó Ade Clewlow, director asociado y asesor principal de la consultora de ciberseguridad. Grupo NCC, en una declaración a Mashable. “No sólo los clientes afectados corren el riesgo de robo de identidad, sino que sabemos que la PII [Personally Identifiable Information] se vende a otros grupos criminales en la internet oscura que explotarán a las víctimas mediante ingeniería social. La combinación de PII que se ha tomado, de ser cierta, representa un riesgo actual para las víctimas de este hackeo”.
Velocidad de la luz triturable
Como El Registro Según informó, ShinyHunters dijo que pudieron obtener acceso a una base de datos de Panera Bread a través de un código de inicio de sesión único (SSO) de Microsoft Entra.
Okta, una plataforma que también proporciona a las empresas códigos SSO, compartió una advertencia la semana pasada sobre nuevas campañas de phishing de voz implementadas por ciberdelincuentes. En el ataque, un mal actor generalmente se hace pasar por un trabajador de TI y llama a su objetivo, solicitándole que ingrese sus credenciales en un sitio internet de phishing diseñado para parecerse a una plataforma SSO. La página falsa registra lo que ingresa el objetivo y proporciona la información de inicio de sesión al mal actor.
“Esto se alinea estrechamente con las recientes advertencias de Okta sobre el compromiso de SSO impulsado por vishing dirigido a Okta, Microsoft y Google”, dijo Cory Michal, CSO de la plataforma de seguridad. AppOmnien declaraciones a Mashable. “Okta ha descrito kits personalizados en tiempo actual utilizados durante las llamadas de voz para capturar credenciales/tokens de sesión y derrotar a MFA no resistente al phishing en estos importantes ecosistemas de identidad”.
Esta no es la primera vez que Panera Bread sufre una importante violación de seguridad en línea. En 2018, un profesional de la ciberseguridad informó que Panera Bread había dejado millones de datos personales de clientes. expuesto en texto plano en su sitio internet.
“La gran lección son los repetidos compromisos de Panera”, afirmó Michal. “El hecho de que ya haya tenido que resolver demandas colectivas por supuestas fallas en la protección de los datos de los consumidores muestra lo difícil que es para las organizaciones grandes y distribuidas operacionalizar consistentemente SaaS y la seguridad de la identidad a escala”.
En cuanto a ShinyHunters, el grupo de hackers ha asumido la responsabilidad de otras violaciones de datos recientes que involucran a Bumble, Match y CrunchBase. El grupo también publicó datos privados de violaciones anteriores de plataformas de automóviles como CarMax, de las que se ha atribuido el mérito un grupo afiliado conocido como Scattered LAPSUS$ Hunters.
En una declaración proporcionada a Mashable, el asesor principal y director de NCC Group, Tim Rawlins, instó a las empresas a adoptar un enfoque más proactivo ante esta reciente serie de incidentes de ciberseguridad.
“Hemos visto una ingeniería social eficaz que persuade al private para que proporcione sus detalles de autenticación multifactor (MFA) a atacantes que se hacen pasar por su servicio de asistencia técnica, y un ‘bombardeo’ de MFA mediante el cual el miembro del private se ve inundado con solicitudes de MFA hasta que responde. Ambas versiones permiten al atacante comprometer una propiedad de TI”, dijo Rawlins. “La única forma de contrarrestar estos ataques es una mayor concienciación del private y una MFA resistente al phishing”.
