O grupo de hackers Caçadores Brilhantes está de volta.
Desta vez, foram os clientes da rede de padarias Panera Bread que tiveram seus dados privados comprometidos. Isso parece fazer parte da mesma violação que relatamos no início desta semana, que tinha como alvo os usuários do Match Group.
Em seu web site no início desta semana, ShinyHunters confirmou que está por trás de uma violação de dados da Panera Bread que resultou no roubo de mais de 14 milhões de registros de clientes. Os dados roubados supostamente incluem nomes de clientes, endereços de e-mail, números de telefone, endereços residenciais e detalhes de contas.
Panera Bread tem desde então confirmado a violação de dados.
A empresa descreveu os dados comprometidos como “informações de contato” em um comunicado ao Bloomberg. Panera disse que desde então contatou as autoridades e tomou medidas para resolver o incidente.
“A violação de dados da Panera Bread será devastadora para as pessoas afetadas”, disse Ade Clewlow, diretor associado e consultor sênior da consultoria de segurança cibernética Grupo NCC, em uma declaração ao Mashable. “Os clientes afetados não apenas correm o risco de roubo de identidade, mas sabemos que as PII [Personally Identifiable Information] é vendido a outros grupos criminosos na darkish net que explorarão as vítimas através da engenharia social. A combinação de PII que foi obtida, se for verdadeira, representa um risco actual para as vítimas deste hack.”
Velocidade da luz mashável
Como O Registro relatado, ShinyHunters disse que conseguiram obter acesso a um banco de dados Panera Bread por meio de um código de logon único (SSO) Microsoft Entra.
Okta, uma plataforma que fornece códigos SSO às empresas, compartilhou um aviso na semana passada, sobre novas campanhas de phishing de voz implantadas por cibercriminosos. No ataque, um malfeitor normalmente se faz passar por um funcionário de TI e liga para o alvo, solicitando que ele insira suas credenciais em um web site de phishing feito para parecer uma plataforma SSO. A página falsa registra o que o alvo insere, fornecendo as informações de login ao malfeitor.
“Isso se alinha estreitamente com os alertas recentes da Okta sobre o comprometimento do SSO orientado por vishing visando a Okta, a Microsoft e o Google”, disse Cory Michal, CSO da plataforma de segurança Aplicativo Omniem uma declaração ao Mashable. “Okta descreveu kits personalizados em tempo actual usados durante chamadas de voz para capturar credenciais/tokens de sessão e derrotar MFA não resistente a phishing nesses principais ecossistemas de identidade.”
Esta não é a primeira vez que a Panera Bread sofre uma grande violação de segurança on-line. Em 2018, um profissional de segurança cibernética relatou que a Panera Bread havia deixado dados pessoais de milhões de clientes exposto em texto simples em seu web site.
“A grande lição são os repetidos compromissos da Panera”, disse Michal. “O fato de já ter sido necessário resolver reivindicações de ação coletiva sobre supostas falhas na proteção dos dados do consumidor mostra como é difícil para grandes organizações distribuídas operacionalizar consistentemente o SaaS e a segurança de identidade em escala.”
Quanto ao ShinyHunters, o grupo de hackers assumiu a responsabilidade por outras violações recentes de dados envolvendo Bumble, Match e CrunchBase. O grupo também postou dados privados de violações anteriores de plataformas automotivas como CarMax, pelas quais um grupo afiliado conhecido como Scattered LAPSUS$ Hunters recebeu o crédito.
Em uma declaração fornecida ao Mashable, o consultor sênior e diretor do Grupo NCC, Tim Rawlins, instou as empresas a adotarem uma abordagem mais proativa a esta recente série de incidentes de segurança cibernética.
“Vimos uma engenharia social eficaz persuadir a equipe a fornecer seus detalhes de autenticação multifatorial (MFA) para invasores disfarçados de helpdesk, e um ‘bombardeio’ de MFA em que o membro da equipe é inundado com solicitações de MFA até que responda. Ambas as versões permitem que o invasor comprometa uma propriedade de TI”, disse Rawlins. “O único contra-ataque a tais ataques é uma melhor conscientização da equipe e um MFA resistente ao phishing”.
