Dunkin ‘Donuts é acusado de encobrir hacks de contas de clientes
Não há como amenizar isso: a New York AG supera o problema do roubo de dados de 2015
O Dunkin ‘Donuts estabeleceu hoje um processo no qual foi acusado de ocultar o fato de que hackers desviaram informações pessoais de seus clientes de seus sistemas em 2015.
O deflagrador de café e pastelaria dos Estados Unidos reembolsará os referidos clientes como parte de um acordo [PDF] que encerrará um processo movido contra ele por Nova York. O estado dos EUA alegou que Dunkin não avisou seus viciados em açúcar que os canalhas haviam obtido acesso às suas contas DD, baixado seus dados e os vendido em fóruns clandestinos da Internet. Essas informações incluíam os detalhes do cartão de fidelidade Dunkin ‘, que os canalhas podiam usar para comprar coisas nas cafeterias usando o dinheiro armazenado nos cartões.
Além de reembolsar seus viciados em açúcar por cobranças fraudulentas feitas em seus cartões, a Dunkin pagará US $ 650.000 a Nova York e concordará com a promessa padrão “não deixaremos isso acontecer de novo”.
“Muito antes de o procurador-geral de Nova York entrar com uma ação neste caso, Dunkin ‘implementou ou melhorou voluntariamente as medidas de segurança identificadas no acordo de hoje”, disse Dunkin’ em um comunicado ao The Register . “Fizemos isso não porque fomos obrigados por qualquer autoridade reguladora ou de execução, mas porque estamos comprometidos em proteger os dados de nossos clientes. Estamos continuamente atualizando e aprimorando nossas medidas de segurança para lidar com ameaças de segurança cibernética em constante evolução, e usamos segurança de informações robusta e proteção de dados. “
O caso remonta a cinco anos, quando os hackers usaram o enchimento de credenciais para invadir contas de clientes. Essa é a técnica em que um bandido extrai um nome de usuário e senha de um site e tenta outros sites para ver se os detalhes de login também funcionam. É por isso que você deve ter uma senha única para cada site ou serviço online que usa.
Uma vez logados, os criminosos conseguiram obter os números dos cartões DD na loja que os clientes podiam carregar com dinheiro e usar para pagar o café e a comida. Os cartões roubados, cerca de 20.000 deles, foram revendidos em fóruns da dark web para outros criminosos que os usariam para obter comida e bebida “grátis” na rede.
O roubo em si não é exatamente o crime do século, embora o que realmente atraiu a ira da procuradora-geral de Nova York, Letitia James, foi a maneira como Dunkin lidou com a notícia das invasões. Alegou-se que os chefes da rede mais ou menos ignoraram quaisquer avisos de um fabricante externo de software de que as contas das pessoas estavam sendo saqueadas e que o negócio mantinha os clientes no escuro sobre os sequestros em massa.
“Dunkin ‘foi alertado repetidamente sobre as tentativas contínuas de invasores de fazer login em contas de clientes por um desenvolvedor de aplicativos de terceiros”, disse o escritório da AG ao anunciar o acordo. “O desenvolvedor do aplicativo até forneceu à Dunkin ‘uma lista de quase 20.000 contas que foram comprometidas por invasores em apenas um período de amostra de cinco dias.
“Ainda assim, a Dunkin ‘não conseguiu conduzir uma investigação sobre os ataques para identificar outras contas de clientes que foram comprometidas, determinar quais informações de clientes foram adquiridas ou se os fundos do cliente foram roubados.”
Os roubos de contas permaneceram secretos para o público por três anos, dizem. Durante esse tempo, os hackers e seus clientes do submundo foram capazes de acumular cobranças nas contas das vítimas. Em nenhum momento as senhas do cliente foram redefinidas ou congeladas. Foi apenas em 2018 que o vazamento veio à tona e, um ano depois, o estado processaria por supostas violações de suas leis de notificação de violação de dados e de proteção ao consumidor.
Mesmo com o processo em andamento, afirmou o escritório do AG, milhares de novas contas hackeadas estavam sendo descobertas. O acordo cobre aqueles cujos cartões foram comprometidos até 30 de abril deste ano.
Agora, pelo menos, as pessoas serão notificadas sobre os roubos de conta e quaisquer cobranças fraudulentas serão revertidas. Como parte do pacote de acordo, a Dunkin ‘também concordará em aumentar suas proteções de segurança para incluir “no mínimo, salvaguardas tecnológicas, administrativas e físicas razoáveis”.
Isso, é claro, depende da aprovação final do acordo de um juiz.
Fonte: https://www.theregister.com/2020/09/15/dunkin_donuts_cooks_up_deal/