image

New York klaagt Dunkin' Donuts aan voor verzwijgen datalek

vrijdag 27 september 2019, 12:15 door Redactie, 3 reacties

Het openbaar ministerie van de Amerikaanse staat New York heeft het bedrijf achter Dunkin' Donuts aangeklaagd voor het verzwijgen van een datalek en het niet beschermen van klantgegevens. Klanten van Dunkin' Donuts kunnen accounts bij het bedrijf aanmaken om vervolgens tegoedkaarten te kopen.

Met deze tegoedkaarten is het mogelijk om online en offline producten bij Dunkin' Donuts aan te schaffen. Begin 2015 waren klantenaccounts het doelwit van bruteforce-aanvallen, waarbij aanvallers op accounts probeerden in te loggen met wachtwoorden die onder andere bij andere websites waren gestolen. Zodra aanvallers toegang tot een account kregen konden ze producten op kosten van het slachtoffer aanschaffen, maar de betreffende tegoedkaarten ook online verkopen.

In een paar maanden tijd wisten de aanvallers bijna 20.000 accounts te compromitteren om vervolgens tienduizenden dollars van de tegoedkaarten van deze klanten te stelen. In mei 2015 klaagden klanten bij het personeel van Dunkin' Donuts dat aanvallers toegang tot hun accounts hadden gekregen. Een externe app-ontwikkelaar waarschuwde het bedrijf dat de aanvallen plaatsvonden en verstrekte zelfs een lijst met bijna 20.000 gekaapte accounts.

Volgens de aanklacht van de procureur-generaal heeft Dunkin' Donuts geen maatregelen genomen om deze klanten te beschermen, alsmede de mogelijk duizenden klanten waar het niets van wist. Zo werden getroffen klanten niet gewaarschuwd, werden hun wachtwoorden niet gereset of de tegoedkaarten bevroren. Ook voerde het bedrijf geen onderzoek uit naar de aanvallen om te achterhalen hoe de klantenaccounts waren overgenomen, welke klantgegevens waren bemachtigd en of er geld van klanten was gestolen.

Tevens nam Dunkin' Donuts geen maatregelen om de bruteforce-aanvallen te beperken, ondanks meldingen van klanten over fraude met hun accounts. Eind 2018 werd het bedrijf weer gewaarschuwd dat klantenaccounts waren aangevallen en dat aanvallers toegang tot meer dan 300.000 klantenaccounts hadden gekregen. Dit keer werden klanten wel over de aanvallen gewaarschuwd, maar kregen die niet te horen dat aanvallers hun gegevens hadden verkregen. In plaats daarvan stelde Dunkin' Donuts dat aanvallers alleen hadden geprobeerd om op de accounts in te loggen en dat de poging niet succesvol was.

De procureur-generaal stelt dat het bedrijf hiermee de wettelijke verplichting van de staat New York om datalekken te melden heeft overtreden, alsmede de consumentenbeschermingswetgeving. Dunkin' Donuts liet klanten bij het aanmaken van een account namelijk weten dat hun gegevens beschermd waren, maar dat was volgens de aanklacht niet het geval. Via de rechtszaak wil de staat New York nu een volledige vergoeding voor klanten en civiele boetes.

Reacties (3)
27-09-2019, 13:45 door Anoniem
waar is de datalek?
Ik zie alleen idioten die eenzelfde email en password van andere sites hebben gebruikt voor iets wat ze geld kan kosten.

Dom dus.
30-09-2019, 09:03 door Calamor - Bijgewerkt: 30-09-2019, 09:04
Door Anoniem: waar is de datalek?
Ik zie alleen idioten die eenzelfde email en password van andere sites hebben gebruikt voor iets wat ze geld kan kosten.

Dom dus.
Deels waar, maar ze hebben zelf een grote steek laten vallen. En dat is geen inlogbescherming voor brute force attacks. Dan kan je nog wel een goed wachtwoord hebben, als je aanvallers onbeperkt laat proberen, komen ze op den duur wel er in.
30-09-2019, 12:50 door Anoniem
Door Anoniem: waar is de datalek?

Da's simpel. Het feit dat er inbreuk is gemaakt op de vertrouwelijkheid is een datalek. Dunkin' Donuts is verantwoordelijk dat zij dit goed beschermen, dit hebben ze niet goed gedaan en ook nog eens niet gemeld, dus boete. Klaar als een klontje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.