Штат Нью-Йорк подал в суд на Dunkin' Donuts из-за утечки данных в 2015 году
Еще в 2015 году популярная закусочная Dunkin' Donuts, где можно купить кофе и выпечку, подверглась серьезной утечке данных. Несмотря на то, что масштабы утечек данных с годами увеличиваются, в то время это было относительно новым явлением. Компания подверглась атаке со стороны стороннего злоумышленника, который смог получить доступ почти к 20 000 учетных записей клиентов, участвующих в программе вознаграждений «DD Perks». Хотя о нарушениях безопасности обычно сообщают своевременно, Dunkin' Donuts не сообщала об этом своим клиентам до 2018 года, о чем свидетельствует этот документ.
Именно по этой причине штат Нью-Йорк подал в суд на Dunkin' Donuts за нарушение законов о раскрытии информации. В официальном юридическом документе Генеральная прокуратура заявляет следующее:
Несмотря на обещание клиентам защитить их личную информацию и политику компании, что требует тщательного и преднамеренного расследования, Dunkin' не провел надлежащего расследования и анализа атак, чтобы определить, какие учетные записи клиентов были скомпрометированы, какая информация о клиентах были приобретены, и были ли украдены средства клиентов…
Что еще хуже, Dunkin' не предприняла никаких действий для защиты многих клиентов, чьи учетные записи, как ей было известно, были скомпрометированы. Среди других сбоев Dunkin 'не уведомил своих клиентов о взломе, не сбросил пароли их учетных записей, чтобы предотвратить дальнейший несанкционированный доступ, и не заморозил карты с сохраненной стоимостью, зарегистрированные в их учетных записях.
Однако Dunkin' Donuts публично оспаривает это и утверждает, что иск необоснован. В интервью Threatpost «Лаборатории Касперского», в частности с репортером Томом Спрингом, директор по связям с общественностью компании Карен Раскопф заявила следующее:
Расследование было сосредоточено на инциденте с заполнением учетных данных, который произошел в 2015 году, когда третьи лица безуспешно пытались получить доступ примерно к 20 000 учетных записей приложения Dunkin '. База данных, о которой идет речь, не содержала никакой информации о платежных картах клиентов. Инцидент был доведен до нашего сведения нашим тогдашним поставщиком брандмауэра, и мы немедленно провели тщательное расследование. Это расследование показало, что неправомерный доступ к учетной записи клиента не осуществлялся, и, следовательно, не было причин уведомлять наших клиентов.
Очевидно, что Dunkin' Donuts и штат Нью-Йорк не согласны с приведенными здесь фактами, хотя никто не спорит о том, что произошла утечка данных. Любая соответствующая информация по делу и его развитию будет сообщаться здесь.