Krispy Kreme наконец-то раскрыла число людей, пострадавших в результате ноябрьской кибератаки, и легко понять, почему на анализ инцидента у компании, располагающей большими ресурсами, ушло несколько месяцев.
Согласно заявлению, поданному в генеральную прокуратуру штата Мэн, киберпреступники скомпрометировали данные, принадлежащие 161 676 человек, и к какой сумме у них был доступ.
Как и всегда при утечке данных, у разных людей будут затронуты разные точки данных, но полный список следующий:
- Имена
- Номера социального страхования
- Даты рождения
- Водительские права или государственные идентификационные номера
- Информация о финансовом счете
- Информация о доступе к финансовому счету
- Информация о кредитной или дебетовой карте
- Информация о кредитной или дебетовой карте в сочетании с кодом безопасности, именем пользователя и паролем к финансовому счету
- Номера паспортов
- Цифровые подписи
- Имена пользователей и пароли
- Адреса электронной почты и пароли
- Биометрические данные
- Регистрационные номера USCIS или иностранцев
- Военный билет США номера
- Медицинская информация
- Информация о медицинском страховании
Типичные утечки данных связаны с основной личной информацией, и это особенно примечательно, когда речь идет о такой важной информации, как финансовая информация, поскольку это не часто случается. что эти случаи приводят к таким уровням доступа.
Но то, что множество конфиденциальных данных были включены в одну и ту же атаку, по словам Дрея Ага, старшего менеджера по безопасности в Huntress, говорит о том, что компания-производитель пончиков обеспечила безопасность до взлома.Он рассказал изданию The Register: «Krispy Kreme собирал исключительно личные данные, такие как биометрические данные, медицинские данные и военные удостоверения личности – гораздо больше, чем нужно для продажи пончиков. Биометрические данные и цифровые подписи вызывают особую обеспокоенность, поскольку их нельзя сбросить, как пароли.
«Хранение кодов безопасности кредитных карт, паролей к финансовым счетам и государственных удостоверений личности, таких как паспорта, в одних и тех же системах является серьезным препятствием. Они должны быть строго изолированы. Их смешивание облегчило злоумышленникам кражу «полных наборов идентификационных данных» для целей мошенничества.
«Сохранение CVV-номеров (запрещенных правилами карточной индустрии) и паролей в виде открытого текста или слабого шифрования свидетельствует о тревожных пробелах. Имена пользователей и пароли также требуют надежного шифрования, что, по-видимому, было упущено из виду».
На веб-сайте Krispy Kreme в настоящее время отображается большой баннер, указывающий посетителям на подробности взлома, но пострадавшим лицам, которые, возможно, хотят получить какие-либо извинения, не повезло.»29 ноября 2024 года Krispy Kreme стало известно о несанкционированной активности в части своих информационных систем», — говорится в сообщении. «Узнав о несанкционированной активности, мы немедленно начали предпринимать шаги по расследованию, локализации и устранению инцидента с привлечением ведущих экспертов в области кибербезопасности.»22 мая 2025 года наше расследование инцидента показало, что была затронута определенная личная информация. Нет никаких доказательств того, что информация была использована не по назначению, и нам не известно о каких-либо сообщениях о краже личных данных или мошенничестве, ставших прямым результатом этого инцидента. Это уведомление не было отложено из-за расследования правоохранительных органов».
Компания предложила обычный 12-месячный кредитный мониторинг и защиту личных данных всем, кто пострадал от сбоя с данными, и, похоже, выделила немного больше на консультации по вопросам мошенничества и идентификации восстановление после кражи.
«Krispy Kreme предприняла соответствующие шаги для защиты наших систем после инцидента и продолжает укреплять безопасность наших систем для дальнейшей защиты конфиденциальности доверенных нам данных».
В нем говорится, что подавляющее большинство людей пострадали от атаки. это нынешние и бывшие сотрудники Krispy Kreme, а также члены их семей.
Несколько юридических фирм США в настоящее время обращаются к пострадавшим лицам с просьбой присоединиться к потенциальным коллективным искам против компании, хотя пока ни один из них не был подан.
Krispy Kreme впервые сообщила о нападении Комиссии по ценным бумагам и биржам (SEC) в декабре, отмечая, что этот инцидент, вероятно, оказал бы существенное влияние на его финансы.В последнем ежеквартальном финансовом отчете [PDF] (1 квартал 2025 года) указано, что расходы, связанные с проведением работ по киберочистке, составили приблизительно 4,4 миллиона долларов, включая оплату услуг экспертов по кибербезопасности и «других консультантов».
Компания добавила, что по оценкам, этот инцидент привел к снижению EBITDA компании за отчетный период на 5 миллионов долларов, и ее полис киберстрахования частично компенсировал бы эти расходы.
Компания никогда не упоминала слово на букву «Р» в своих сообщениях, связанных с атакой, хотя в пьесе команда вымогателей взяла на себя ответственность за захват данных вскоре после того, как была проинформирована SEC.
Вполне возможно, что программа-вымогатель не участвовала в атаке, поскольку все большее число атак, совершаемых бандами программ-вымогателей и их филиалами, не связано с шифрованием, а только с кражей данных и вымогательством. ®
