De hackgroep Glanzende Jagers is er weer mee bezig.
Deze keer zijn het klanten van bakkerijketen Panera Bread bij wie hun privégegevens zijn gecompromitteerd. Dit lijkt deel uit te maken van dezelfde inbreuk waarover we eerder deze week berichtten gerichte Match Group-gebruikers.
Eerder deze week bevestigde ShinyHunters op hun website dat zij achter een datalek van Panera Bread zaten, dat ertoe heeft geleid dat meer dan 14 miljoen klantgegevens zijn gestolen. De gestolen gegevens omvatten naar verluidt de namen van klanten, e-mailadressen, telefoonnummers, thuisadressen en accountgegevens.
Panera Bread heeft sindsdien bevestigd het datalek.
Het bedrijf omschreef de gecompromitteerde gegevens in een verklaring als ‘contactgegevens’ Bloomberg. Panera zei dat het sindsdien contact heeft opgenomen met de politie en stappen heeft ondernomen om het incident aan te pakken.
“Het datalek bij Panera Bread zal verwoestend zijn voor de getroffenen”, zegt Ade Clewlow, associate director en senior adviseur bij cybersecurityadviesbureau. NCC-groep, in een verklaring aan Mashable. “Niet alleen lopen getroffen klanten het risico op identiteitsdiefstal, maar we weten ook dat PII (Persoonlijk Identificeerbare Informatie) wordt doorverkocht aan andere criminele groepen op het dark web die slachtoffers via social engineering zullen uitbuiten. De combinatie van PII die is buitgemaakt, vormt, als het waar is, een reëel risico voor de slachtoffers van deze hack.”
Mashbare lichtsnelheid
Als Het register ShinyHunters zei dat ze toegang konden krijgen tot een Panera Bread-database via een Microsoft Entra single-sign-on (SSO)-code.
Okta, een platform dat bedrijven op dezelfde manier van SSO-codes voorziet, deelde een waarschuwing vorige week nog over nieuwe voice phishing-campagnes die door cybercriminelen worden ingezet. Bij de aanval doet een slechte actor zich doorgaans voor als een IT-medewerker en belt zijn doelwit met het verzoek zijn inloggegevens in te voeren op een phishing-website die eruit ziet als een SSO-platform. De neppagina registreert wat het doelwit invoert en verstrekt de inloggegevens aan de slechte actor.
“Dit sluit nauw aan bij de recente waarschuwingen van Okta over door vishing gestuurde SSO-compromissen gericht op Okta, Microsoft en Google”, zegt Cory Michal, CSO bij beveiligingsplatform. AppOmniin een verklaring aan Mashable. “Okta heeft aangepaste, realtime kits beschreven die worden gebruikt tijdens spraakoproepen om inloggegevens/sessietokens vast te leggen en niet-phishing-resistente MFA in deze grote identiteitsecosystemen te verslaan.”
Dit is niet de eerste keer dat Panera Bread te maken krijgt met een grote inbreuk op de online beveiliging. In 2018 meldde een cybersecurityprofessional dat Panera Bread de persoonlijke gegevens van miljoenen klanten had achtergelaten weergegeven in platte tekst op haar website.
“De grote les zijn de herhaalde compromissen van Panera”, zei Michal. “Het feit dat het al class action-claims heeft moeten schikken over vermeend falen om consumentengegevens te beschermen, laat zien hoe moeilijk het is voor grote, gedistribueerde organisaties om SaaS en identiteitsbeveiliging consequent op grote schaal te implementeren.”
Wat ShinyHunters betreft, heeft de hackgroep de verantwoordelijkheid op zich genomen voor andere recente datalekken waarbij Bumble, Match en CrunchBase betrokken waren. De groep plaatste ook privégegevens van eerdere inbreuken op autoplatforms zoals CarMax, waarvoor een aangesloten groep bekend als Scattered LAPSUS$ Hunters de eer heeft opgeëist.
In een verklaring aan Mashable heeft senior adviseur en directeur van NCC Group Tim Rawlins er bij bedrijven op aangedrongen een proactievere aanpak te hanteren bij deze recente reeks cyberveiligheidsincidenten.
“We hebben gezien hoe effectieve social engineering medewerkers overhaalt om hun multi-factor authenticatie (MFA)-gegevens te verstrekken aan aanvallers die zich voordoen als hun helpdesk, en hoe MFA wordt ‘gebombardeerd’ waarbij het personeelslid wordt overspoeld met MFA-verzoeken totdat ze reageren. Beide versies stellen de aanvaller in staat een IT-domein in gevaar te brengen”, aldus Rawlins. “Het enige tegenwicht tegen dergelijke aanvallen is een beter bewustzijn van het personeel en een phishing-bestendige MFA.”
