Η Dunkin Donuts συμφώνησε με την επιστροφή χρημάτων σε πελάτες που έπεσαν θύματα μιας παραβίασης δεδομένων. Η επιστροφή αποτελεί μέρος της διευθέτησης μιας αγωγής, που υποβλήθηκε από τη Γενική Εισαγγελέα της Νέας Υόρκης, Letitia James στην εταιρεία.
Η αγωγή κατατέθηκε από την James στην εταιρεία Dunkin, που εδρεύει στην Καντόνα, αφού οι hackers παραβίασαν τους διαδικτυακούς λογαριασμούς των πελατών, με μια σειρά από επιθέσεις «credential stuffing» ή επαναλαμβανόμενες, αυτοματοποιημένες επιθέσεις για να αποκτήσουν πρόσβαση σε λογαριασμούς χρησιμοποιώντας κλεμμένα ονόματα χρήστη και κωδικούς πρόσβασης. Η παραβίαση πραγματοποιήθηκε μεταξύ 2015 και 2018.
Σύμφωνα με την James, η επίθεση έθεσε σε κίνδυνο χιλιάδες κάρτες DD Perks των πελατών, οι οποίες χρησιμοποιήθηκαν από τους κακόβουλους παράγοντες για να κάνουν αγορές. Το αποτέλεσμα οδήγησε σε κλοπή χιλιάδων δολαρίων από τις κάρτες DD Perks.
Η Dunkin συμφώνησε να ειδοποιήσει τους πελάτες που επηρεάστηκαν από τις επιθέσεις, να επαναφέρει τους κωδικούς πρόσβασης και να παρέχει επιστροφές χρημάτων για μη εξουσιοδοτημένη χρήση των καρτών τους. Η εταιρεία θα πληρώσει επίσης πρόστιμο 650.000 $.
«Για χρόνια η Dunkin έκρυψε την αλήθεια και απέτυχε να προστατεύσει την ασφάλεια των πελατών της, οι οποίοι κατέληξαν να πληρώσουν το λογαριασμό», δήλωσε η James.
Ωστόσο όπως ανακοίνωσε η Dunkin, το συμβάν επηρέασε «λιγότερο από το 1%» των μελών του DD Perks, ένα πρόγραμμα επιβράβευσης της Dunkin.
Η εταιρεία είπε επίσης ότι έχει λάβει τα κατάλληλα μέτρα ασφαλείας «πολύ πριν» κατατεθεί η αγωγή.
Η εταιρεία είπε ότι έχει ειδοποιήσει και έχει επαναφέρει τους κωδικούς πρόσβασης για τη «συντριπτική πλειονότητα» των πελατών της στη Νέα Υόρκη, που επηρεάζονται από την παραβίαση.
Η εταιρεία τόνισε επίσης ότι οι εισβολείς δεν είχαν πρόσβαση σε πληροφορίες πιστωτικών καρτών.
«Οι ψηφιακοί πελάτες της Dunkin μπορούν επίσης να είναι σίγουροι ότι έχουμε λάβει μέτρα για να διασφαλίσουμε ότι όλες οι αποθηκευμένες κάρτες που σχετίζονται με τους λογαριασμούς της Dunkin είναι ασφαλείς και προστατευμένες.»
Η James κατηγόρησε την Dunkin ότι δεν διεξήγαγε την κατάλληλη έρευνα αφού «προειδοποιήθηκε επανειλημμένα» ότι η πρόσβαση σε λογαριασμούς πελατών ήταν ακατάλληλη. Είπε επίσης ότι η Dunkin απέτυχε να ειδοποιήσει τους πελάτες για τη μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς τους, να επαναφέρει τους κωδικούς πρόσβασης ή να παγώσει τις κάρτες.
