Panerabread.com , el sitio web de la cadena estadounidense de restaurantes casuales de panadería y pastelería con el mismo nombre, filtró millones de registros de clientes, incluidos nombres, correos electrónicos y direcciones físicas, cumpleaños y los últimos cuatro dígitos del número de tarjeta de crédito del cliente. durante al menos ocho meses antes de que fuera desconectado el día de hoy, KrebsOnSecurity ha aprendido.

Los datos disponibles en texto plano del sitio de Panera parecían incluir registros de cualquier cliente que se haya registrado en una cuenta para pedir comida en línea a través de panerabread.com. La compañía con sede en St. Louis, que cuenta con más de 2.100 puntos de venta minorista en los Estados Unidos y Canadá, permite a los clientes pedir comida en línea para su recogida en las tiendas o para la entrega.

Registros actualizados del sitio de Panera, que permiten a cualquier persona buscar por una variedad de atributos del cliente, incluyendo número de teléfono, dirección de correo electrónico, dirección física o número de cuenta de lealtad. En este ejemplo, el número de teléfono era una línea principal en un edificio de oficinas donde muchos empleados diferentes aparentemente se registraron para pedir comida en línea.

KrebsOnSecurity supo sobre la violación el día de hoy luego de ser contactado por el investigador de seguridad Dylan Houlihan , quien dijo que notificó inicialmente a Panera sobre la filtración de datos de clientes de su sitio web el 2 de agosto de 2017.

Un largo hilo de mensajes que Houlihan compartió entre él y Panera indica que Mike Gustavison , director de seguridad de la información de Panera, inicialmente descartó el informe de Houlihan como una estafa probable. Una semana después, sin embargo, esos mensajes sugieren que la compañía había validado los hallazgos de Houlihan y estaba trabajando en una solución.

«Gracias por la información que estamos trabajando en una resolución», escribió Gustavison.

Panera fue alertado sobre la fuga de datos a principios de agosto de 2017, y dijo que estaba solucionando el problema en ese momento.

Avance rápido hasta esta tarde, exactamente ocho meses después del día en que Houlihan informó por primera vez sobre el problema, y ​​los datos compartidos por Houlihan indicaron que el sitio todavía estaba filtrando los registros de los clientes en texto sin formato. Peor aún, los registros podrían ser indexados y rastreados por herramientas automatizadas con muy poco esfuerzo.

Por ejemplo, algunos de los registros de los clientes incluyen identificadores únicos que se incrementan en uno para cada nuevo registro, lo que hace que sea potencialmente simple para alguien raspar todas las cuentas de clientes disponibles. El formato de la base de datos también permite que cualquier persona busque clientes a través de una variedad de puntos de datos, incluso por número de teléfono.

«Panera Bread utiliza números enteros secuenciales para las identificaciones de cuenta, lo que significa que si su objetivo es recopilar la mayor cantidad de información posible sobre alguien, simplemente puede incrementar las cuentas y recopilar todo lo que desee, hasta e inclusive toda la base de datos «, dijo Houlihan.

Al preguntársele si vio algún indicio de que Panera alguna vez abordó el problema que informó en agosto de 2017 hasta hoy, Houlihan dijo que no.

«No, la falla nunca desapareció», dijo. «Lo revisé cada mes más o menos porque estaba enojado».

Poco después de que KrebsOnSecurity habló brevemente con el director de información de Panera, John Meister, por teléfono hoy, la compañía sacó brevemente el sitio web fuera de línea. A partir de esta publicación, el sitio vuelve a estar en línea, pero los datos a los que se hace referencia anteriormente ya no parecen accesibles.

Panera tomó su sitio hoy después de ser notificado por KrebsOnSecurity.

Otro punto de datos expuesto en estos registros incluía el número de tarjeta de fidelidad Panera del cliente, que los estafadores podrían abusar de ellos para gastar cuentas prepagas o para desviar el valor de las cuentas de fidelización de clientes de Panera .

Todavía no está claro exactamente cuántos registros de clientes de Panera pudieron haber sido expuestos por el sitio web con filtraciones de la compañía, pero los números incrementales de clientes indexados por el sitio sugieren que la cantidad puede ser mayor a siete millones. Tampoco está claro si las contraseñas de la cuenta de cliente de Panera pueden haber sido afectadas.

En una declaración escrita, Panera dijo que había resuelto el problema en menos de dos horas después de recibir la notificación de KrebsOnSecurity. Pero Panera no explicó por qué la compañía tardó ocho meses en solucionar el problema después de reconocerlo inicialmente en privado con Houlihan.

«Panera se toma la seguridad de los datos muy en serio y este problema se resuelve», dice la declaración. «Tras los informes de hoy sobre un posible problema en nuestro sitio web, suspendimos la funcionalidad para reparar el problema. Nuestra investigación continúa, pero no hay evidencia de que se haya accedido ni recuperado una gran cantidad de registros «.

Actualización, 8:40 pm hora del este: casi minutos después de que se publicó esta historia, Panera dio una declaración a Fox News (no se proporcionará ningún enlace) que minimiza la gravedad de esta infracción, afirmando que solo 10.000 registros de clientes quedaron expuestos. Casi en un instante, varias fuentes, especialmente @holdsecurity , señalaron que Panera básicamente » resolvió » el problema al exigir a las personas que inicien sesión en una cuenta de usuario válida en panerabread.com para ver los registros de clientes expuestos (en lugar de permitiendo que cualquier persona con el enlace correcto acceda a los registros).

Los enlaces subsiguientes compartidos por Hold Security indican que esta brecha de datos puede ser mucho mayor que los 7 millones de registros de clientes reportados inicialmente como expuestos en esta historia. Las vulnerabilidades también parecen haberse extendido a la división comercial de Panera, que sirve a innumerables empresas de catering. En el último recuento, el número de registros de clientes expuestos en este incumplimiento parece superar los 37 millones. Gracias a Panera por señalar las deficiencias de nuestra investigación. A partir de esta actualización, todo el sitio web panerabread.com está fuera de línea.

Para cualquiera que esté interesado en mi respuesta al aparente final de Panera en torno a mis informes, vea mis tweets .

Etiquetas: , , , ,

Lee mas

Por admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.