O grupo de hackers ShinyHunters está de volta.
Desta vez, foram os clientes da rede de padarias Panera Bread que tiveram seus dados privados comprometidos. Isso parece fazer parte da mesma violação que relatamos no início desta semana, que tinha como alvo os usuários do Match Group.
Em seu site no início desta semana, ShinyHunters confirmou que está por trás de uma violação de dados da Panera Bread que resultou no roubo de mais de 14 milhões de registros de clientes. Os dados roubados supostamente incluem nomes de clientes, endereços de e-mail, números de telefone, endereços residenciais e detalhes de contas.
Desde então, a Panera Bread confirmou a violação de dados.
A empresa descreveu os dados comprometidos como “informações de contato” em comunicado à Bloomberg. Panera disse que desde então contatou as autoridades e tomou medidas para resolver o incidente.
“A violação de dados da Panera Bread será devastadora para as pessoas afetadas”, disse Ade Clewlow, diretor associado e consultor sênior da consultoria de segurança cibernética NCC Group, em comunicado ao Mashable. “Os clientes afetados não apenas correm o risco de roubo de identidade, mas sabemos que as PII (informações de identificação pessoal) são vendidas a outros grupos criminosos na dark web que explorarão as vítimas por meio de engenharia social.
Velocidade da luz mashável
Conforme relatado pelo The Register, ShinyHunters disse que conseguiram obter acesso a um banco de dados Panera Bread por meio de um código de logon único (SSO) do Microsoft Entra.
Okta, uma plataforma que fornece códigos SSO às empresas, compartilhou um alerta na semana passada sobre novas campanhas de phishing de voz implantadas por cibercriminosos. No ataque, um malfeitor normalmente se faz passar por um funcionário de TI e liga para o alvo, solicitando que ele insira suas credenciais em um site de phishing feito para parecer uma plataforma de SSO. A página falsa registra o que o alvo insere, fornecendo as informações de login ao malfeitor.
“Isso se alinha estreitamente com os recentes avisos da Okta sobre o comprometimento do SSO orientado por vishing visando a Okta, a Microsoft e o Google”, disse Cory Michal, CSO da plataforma de segurança AppOmni, em uma declaração ao Mashable. “Okta descreveu kits personalizados em tempo real usados durante chamadas de voz para capturar credenciais/tokens de sessão e derrotar MFA não resistente a phishing nesses principais ecossistemas de identidade.”
Esta não é a primeira vez que a Panera Bread sofre uma grande violação de segurança online. Em 2018, um profissional de segurança cibernética relatou que a Panera Bread havia deixado dados pessoais de milhões de clientes expostos em texto simples em seu site.
“A grande lição são os repetidos compromissos da Panera”, disse Michal. “O fato de já ter sido necessário resolver reivindicações de ação coletiva sobre supostas falhas na proteção dos dados do consumidor mostra como é difícil para grandes organizações distribuídas operacionalizar consistentemente o SaaS e a segurança de identidade em escala.”
Quanto ao ShinyHunters, o grupo de hackers assumiu a responsabilidade por outras violações recentes de dados envolvendo Bumble, Match e CrunchBase. O grupo também postou dados privados de violações anteriores de plataformas automotivas como CarMax, pelas quais um grupo afiliado conhecido como Scattered LAPSUS$ Hunters recebeu o crédito.
Em uma declaração fornecida ao Mashable, o consultor sênior e diretor do Grupo NCC, Tim Rawlins, instou as empresas a adotarem uma abordagem mais proativa a esta recente série de incidentes de segurança cibernética.
“Vimos uma engenharia social eficaz persuadir a equipe a fornecer seus detalhes de autenticação multifatorial (MFA) para invasores disfarçados de helpdesk, e um ‘bombardeio’ de MFA em que o membro da equipe é inundado com solicitações de MFA até que responda. Ambas as versões permitem que o invasor comprometa uma propriedade de TI”, disse Rawlins. “O único contra-ataque a tais ataques é uma melhor conscientização da equipe e um MFA resistente ao phishing”.
