Hace unos años, un grupo de hackers logró comprometer casi 20 mil cuentas en línea de los clientes de Dunkin’ Donuts empleando una campaña masiva de relleno de credenciales.
Especialistas en ciberseguridad señalan que el relleno de credenciales tiene gran éxito debido a que muchos usuarios de plataformas en línea utilizan la misma contraseña para acceder a dos o más servicios, facilitando la labor de los actores de amenazas.
Durante el incidente en la cadena de cafeterías, los hackers lograron acceder a múltiples detalles contenidos en las tarjetas de puntos de los usuarios, por ejemplo:
- Nombres completos
- Dirección email
- Número de cuenta de Dunkin’ Donuts
- Clave de acceso
- Saldo de la cuenta, solo en algunos casos
Informes de seguridad mencionaron que la información comprometida fue publicada en foros de hacking en dark web, por lo que podrían haber sido utilizados para desplegar ataques de phishing contra los clientes de la compañía. Si bien el incidente fue notificado a Dunkin’ Donuts vía su proveedor de apps móviles, la cadena de cafeterías no hizo nada al respecto.
Por si no fuera suficiente, a inicios de 2019 la compañía reveló un nuevo incidente de seguridad afectando la información de sus clientes a través de un ataque de credenciales. Aunque de nueva cuenta los directivos de la compañía trataron de ignorar el incidente, esta vez las cosas fueron diferentes, pues el estado de Nueva York decidió presentar una demanda contra la compañía; en caso de ser aprobada por un juez, la demanda resultará en una multa de 650 mil dólares para el gran vendedor de donas.
Las autoridades locales argumentan que la compañía nunca notificó el problema a sus clientes, no restableció las contraseñas de los afectados ni implementó mecanismo de seguridad alguno para contener el ataque.
Al respecto, Dunkin’ Donuts declaró: “Nuestros equipos de TI implementaron voluntariamente las medidas de seguridad requeridas mucho antes de que la Oficina del Fiscal de Nueva York presentara la demanda”.
Posteriormente, un portavoz de la compañía mencionó que ninguna autoridad les había requerido la implementación de mecanismos de seguridad, aunque el compromiso por la seguridad de sus clientes y la prevención de incidentes de seguridad impulsó esta iniciativa.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.