De staat New York ambtenaren hebben een rechtszaak aangespannen tegen het bedrijf achter de Dunkin’ Donuts franchise voor het niet melden van 2015 een inbreuk op de beveiliging, onder vele andere dingen.
Dunkin’ Brands, het bedrijf, vertelde ZDNet is er “absoluut geen basis” voor de rechtszaak, en dat ze “geschokt en teleurgesteld” door de New York Attorney General ‘ s Office besluit om door te gaan met procederen.
Rechtszaak verdeling
In het midden van de rechtszaak is DD Perks, het bedrijf online rekeningen. Dunkin’ klanten kan registreren voor deze accounts via de Dunkin’ Donuts websites en mobiele apps. Ze kunnen worden gebruikt voor het opslaan van rewards punten aan de zogenaamde “DD-kaarten”, die ze later kunt gebruiken om korting te ontvangen bij Dunkin’ locaties.
Volgens een rechtszaak aangespannen door de New York Attorney General ‘s Office gisteren, Dunkin’ had nagelaten te handelen bij verschillende gelegenheden met betrekking tot het onderzoeken van cyber-aanvallen gericht op deze rekeningen en ook niet te melden aan de klanten van de rekening van de inbreuken.
De rechtszaak [PDF] beweert het volgende:
Dat in het begin van 2015, aanvallers gebruikt brute-force aanvallen te raden gebruikersnamen en wachtwoorden en de toegang Dunkin’ accounts.Dat Dunkin’ begonnen met het ontvangen van meldingen van misbruik van klanten door Kunnen 2015That een third-party app-ontwikkelaar ook waarschuwde het bedrijf van de aanslagen tijdens de zomer van 2015 en nog Dunkin’ met een lijst van 19,715 accounts die was misbruikt door aanvallers in slechts vijf dagen tijd.Dat Dunkin’ niet in kennis van deze klanten, volgens gegevens van schending van de wetten.Dat Dunkin’ mislukt wachtwoorden opnieuw in te stellen en in te vriezen DD kaarten voor de getroffen accounts.Dat Dunkin’ niet onderzoeken van de aanvallen om te bepalen of andere accounts werden ook beïnvloed.Dat Dunkin’ niet passende veiligheidsmaatregelen om te voorkomen dat toekomstige aanvallen tegen haar gebruikers.Dat eind 2018 een soortgelijke aanval vond plaats tijdens die onbekende hackers toegang gekregen tot meer dan 300.000 accounts.Dat in een data breach notification het bedrijf gestuurd naar klanten in November 2018 het misleiden gebruikers te laten geloven dat de aanvallers alleen “geprobeerd” om in te loggen op accounts en dat ze niet succesvol waren.Dat Dunkin’ wist van de leverancier van beveiligingsproducten dat hackers toegang rekeningen, maar lied [zie foto hieronder].
ZDNet meldde de 2018 aanval eind November vorig jaar, toen Dunkin’ stuurde een data breach notification letter. Op het moment dat het bedrijf vertelde ZDNet dat het incident werd een identificatie vulling aanval tijdens die hackers gebruikt gebruikersnamen en wachtwoorden gelekt van inbreuken op andere bedrijven om toegang te krijgen tot Dunkin’ accounts.
In lijn met de staat New York rechtszaak, de breach notification letter beschreven in de aanval als pogingen om in te loggen op accounts, en dat het “was succesvol in het stoppen van de meeste van deze pogingen,” maar niet alle.
Bovendien werd het bedrijf getroffen door een andere identificatie vulling aanval in februari 2019.
Dunkin’ geschillen de staat van de vorderingen
Maar in een e-mail naar ZDNet, Dunkin’ betwist de vorderingen van de staat New York ambtenaren in hun rechtszaak.
“Er is absoluut geen basis voor deze claims door de New York Attorney General ‘s Office”, een Dunkin’ woordvoerder vertelde ZDNet. “Voor meer dan twee jaar, we hebben volledig meegewerkt met de AG het onderzoek in deze zaak, en we zijn geschokt en teleurgesteld dat ze ervoor kozen om te gaan met deze rechtszaak, gezien het ontbreken van verdienste voor hun zaak.
“Het onderzoek gericht op een identificatie vulling incident dat zich heeft voorgedaan in 2015, waarbij derde partijen tevergeefs geprobeerd om toegang te krijgen tot ongeveer 20.000 Dunkin’ app-accounts. De database in kwestie bevatte geen klant payment card informatie,” voegde het toe.
“Het incident werd onder onze aandacht gebracht door onze-firewall-leverancier, en we hebben meteen een grondig onderzoek uitgevoerd. Dit onderzoek toonde aan dat er geen rekening van de klant ten onrechte werd geopend, en daarom was er geen reden om aan te melden voor onze klanten.
“Wij nemen de beveiliging van de gegevens van onze klanten serieus en hebben een robuuste gegevensbescherming waarborgen,” Dunkin’ gezegd. “We kijken uit naar die onze zaak in de rechtbank.”
Veiligheid
Lieve netwerk operators, gelieve gebruik te maken van de bestaande tools te lossen beveiliging
Massale golf van account kaapt hits YouTube-makers
Apple gecastreerd ad-blockers in Safari, maar in tegenstelling tot Chrome, gebruikers niet zeggen dat een ding
GDPR een jaar later: De uitdagingen waar organisaties nog steeds het gezicht (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
Overheden nog steeds te kampen te kampen met bewapende sociale media platforms (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters