Η Jason’s Deli, η γνωστή αμερικανική αλυσίδα εστιατορίων, προειδοποιεί τους πελάτες της για μια παραβίαση δεδομένων, κατά την οποία εκτέθηκαν προσωπικές πληροφορίες.
Σε μια ειδοποίηση παραβίασης δεδομένων που εστάλη στους πελάτες, η Jason’s Deli λέει ότι οι hackers έλαβαν τα credentials κάποιων λογαριασμών μελών από άλλες πηγές και, στις 21 Δεκεμβρίου 2023, τα χρησιμοποίησαν σε μια επίθεση credential stuffing εναντίον του ιστότοπου του εστιατορίου.
“Στις 21 Δεκεμβρίου 2023, μάθαμε ότι ένα μη εξουσιοδοτημένο μέρος είχε αποκτήσει άγνωστο αριθμό Deli Dollar και credentials σύνδεσης (όνομα χρήστη και κωδικούς πρόσβασης) πιθανότατα από άλλες παραβιάσεις δεδομένων ή άλλες πηγές που δεν εμπλέκουν την Jason’s Deli“, αναφέρεται στην ανακοίνωση.
Δείτε επίσης: Trezor: Παραβίαση δεδομένων επηρεάζει 66.000 πελάτες
“Αυτά τα μη εξουσιοδοτημένα μέρη προφανώς χρησιμοποίησαν αυτά τα διαπιστευτήρια σύνδεσης για να προσδιορίσουν αν ταιριάζουν με αυτά των reward και online accounts μας“.
Προφανώς, κάποιοι χρήστες χρησιμοποιούσαν τα ίδια credentials σε διαφορετικούς λογαριασμούς, οι οποίοι είχαν παραβιαστεί στο παρελθόν. Οι hackers χρησιμοποίησαν αυτά τα credentials και μπόρεσαν να παραβιάσουν και τους λογαριασμούς στην Jason’s Deli.
Τα δεδομένα που εκτέθηκαν κατά τη διάρκεια αυτής της credential stuffing επίθεσης εξαρτώνται από τον τύπο των πληροφοριών που έχει προσθέσει ένα μέλος της Jason’s Deli στα διαδικτυακά του προφίλ. Με βάση αυτό, οι πληροφορίες που μπορεί να έχουν εκτεθεί, περιλαμβάνουν:
- Πλήρες όνομα
- Διεύθυνση (συμπεριλαμβανομένων όλων των αποθηκευμένων διευθύνσεων παράδοσης)
- Τηλεφωνικό νούμερο
- Γενέθλια
- Προτιμώμενη τοποθεσία Jason’s Deli
- Αριθμός λογαριασμού σπιτιού
- Πόντοι Deli Dollar
- Εξαγοράσιμα ποσά και ανταμοιβές
- Αριθμοί πιστωτικών καρτών (είναι ορατά μόνο τα τέσσερα τελευταία ψηφία)
- Αριθμοί δωροκάρτας (δεν είναι ορατοί ολόκληροι)
Η Jason’s Deli λέει ότι δεν μπορεί να προσδιορίσει πόσοι λογαριασμοί έχουν επηρεαστεί, γι’ αυτό ειδοποιεί προληπτικά όλους τους πελάτες που θα μπορούσαν ενδεχομένως να έχουν παραβιαστεί από την παραβίαση δεδομένων.
Δείτε επίσης: loanDepot: Παραβίαση δεδομένων επηρεάζει 16,6 εκατ. ανθρώπους
Σύμφωνα με μια καταχώριση στο Γραφείο του Γενικού Εισαγγελέα του Μέιν, ο συνολικός αριθμός των πελατών που ενδέχεται να επηρεαστούν είναι 344.034 άτομα.
Τα άτομα που είναι σίγουρο ότι έχουν παραβιαστεί, θα λάβουν μια ειδοποίηση για επαναφοράς κωδικού πρόσβασης στο λογαριασμό τους. Αν χρησιμοποιείται ο ίδιος κωδικός και σε άλλες υπηρεσίες, θα πρέπει να αλλάξει και εκεί. Επίσης, προτείνεται η χρήση 2FA όπου είναι διαθέσιμο.
Η εταιρεία είπε επίσης ότι, κατά περίπτωση, οι πόντοι ανταμοιβής Deli Dollars που χρησιμοποιούνται χωρίς εξουσιοδότηση από παραβιασμένους λογαριασμούς θα αποκατασταθούν.
Εστίαση: Καλύτερες πρακτικές για προστασία δεδομένων των πελατών
Αν και η Jason’s Deli λέει ότι η παραβίαση δεδομένων ξεκίνησε από credentials χρηστών που είχαν ήδη παραβιαστεί, ο κλάδος της εστίασης πρέπει να λάβει κάποια μέτρα ασφαλείας.
Η εφαρμογή και η τήρηση των προτύπων ασφάλειας δεδομένων των πελατών είναι ζωτικής σημασίας. Αυτό περιλαμβάνει την προστασία των δεδομένων των πιστωτικών καρτών των πελατών και την εφαρμογή αυστηρών προτύπων για την προστασία των προσωπικών και χρηματοοικονομικών πληροφοριών τους.
Η χρήση τεχνολογίας κρυπτογράφησης για την προστασία των δεδομένων των πελατών είναι επίσης σημαντική. Αυτό σημαίνει ότι τα δεδομένα που μεταφέρονται από και προς το σύστημα του εστιατορίου είναι κρυπτογραφημένα, κάτι που δυσκολεύει την πρόσβαση από μη εξουσιοδοτημένους χρήστες.
Δείτε επίσης: SEC: Η παραβίαση του X account έγινε μέσω SIM-swapping επίθεσης
Είναι σημαντικό να διατηρείται μια σταθερή πολιτική ενημέρωσης και εκπαίδευσης του προσωπικού σχετικά με την ασφάλεια των δεδομένων. Το προσωπικό πρέπει να γνωρίζει τους κινδύνους που συνδέονται με την παραβίαση των δεδομένων και τους τρόπους για την αποφυγή τέτοιων περιστατικών.
Τέλος, η δημιουργία ενός σχεδίου αντίδρασης σε περίπτωση παραβίασης δεδομένων είναι απαραίτητη. Αυτό θα πρέπει να περιλαμβάνει την άμεση ειδοποίηση των πελατών, την αναζήτηση της πηγής της παραβίασης και την εφαρμογή των απαραίτητων βημάτων για την αποκατάσταση της ασφάλειας.
πηγή: www.bleepingcomputer.com
