Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Американская сеть ресторанов быстрого питания Chick-fil-A подверглась кибератаке

07/03/23

151002_em_chickfila

Американский гигант быстрого питания Chick-fil-A заявил, что финансовая информация его клиентов была украдена во время взлома, который дал хакерам доступ во внутренние сети компании почти на 2 месяца. Это передает Securitylab.

В документах, поданных в генеральную прокуратуру США, Chick-fil-A сообщила, что провела расследование после обнаружения подозрительной активности в своих системах. «После тщательного расследования мы определили, что неавторизованные стороны запустили автоматическую атаку на наш веб-сайт и мобильное приложение, используя учётные данные, полученные из стороннего источника», — говорится в заявлении компании. Атака началась 18 декабря и завершилась 12 февраля.

Украденная информация включает имена и номера телефонов клиентов, номера кредитных / дебетовых карт и адреса электронной почты. В некоторых аккаунтах также содержалась идентифицирующая информация, такая как дни рождения и даже домашние адреса.

В то время как в письме с уведомлением о нарушении говорится, что хакеры могли видеть только последние четыре цифры номера карты, на целевой странице для подачи заявления в Генеральную прокуратуру штата Мэн сообщается, что украденная информация включала «Номер финансового счета или номер кредитной / дебетовой карты (в сочетании с кодом безопасности, кодом доступа, паролем или PIN-кодом для учетной записи)». Компания ещё не ответила на запросы о комментариях по поводу несоответствия информации.

Жертвам взлома, который, по данным Chick-fil-A, затронул 71 473 человека, компания пока что не предложила услуги по защите от кражи личных данных, как это в последнее время делают многие компании, допустившие утечку данных. Однако в Chick-fil-A заявили, что специалисты предприняли ряд действий в ответ на взлом, в том числе потребовали сброса пароля, удаления сохраненных кредитных или дебетовых карт и замораживания всех средств, которые были загружены на счета Chick-fil-A One. Достаточно ли этого с учётом утечки платёжных данных клиентов? Вопрос риторический.

Chick-fil-A предупредила клиентов о подозрительной активности ещё в январе этого года. После того, как десятки людей обратились в социальные сети, чтобы сообщить, что их учетные записи были доступны другим людям и использовались для совершения заказов. Тогда сеть ресторанов настоятельно рекомендовала пострадавшим обратиться в службу поддержки клиентов, добавив, что их «внутренняя команда проведет расследование и, по возможности, предоставит дополнительную информацию».

Тем временем в Twitter и Reddit некоторые клиенты сети сообщают, что кто-то взломал их учетные записи и использовал накопленные ими баллы для совершения заказов. Другие пишут о том, что деньги с привязанных карт были переведены на их счета Chick-fil-A One. Возможно, хакеры каким-то образом могут выводить деньги со счёта сети по своим платёжным реквизитам, иначе целесообразность этого взлома, за исключением бесплатных перекусов, стоит под большим вопросом.

В январе мы сообщали о крупной кибератаке на британские рестораны быстрого питания «Yum!», включающие KFC, Pizza Hut и Taco Bell. Тогда злоумышленникам удалось остановить работу 300 ресторанов по всей Великобритании на один рабочий день, однако, по сообщениям самой компании «Yum!», личных данных клиентов или сотрудников похищено не было. На фоне британского инцидента массовая утечка финансовых данных Chick-fil-A выглядит куда серьёзнее.

Темы:СШАПерсональные данныеПреступления
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.
  • Рецепты от стагнации и формализма в защите ПДн
    Алексей Плешков, Независимый эксперт по информационной безопасности, эксперт BIS
    В конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Что нужно знать про новые штрафы в области ПДн?
    Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
    В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.
  • Персональные данные на корпоративных мероприятиях: что скрывается за кадром
    Алексей Майоров, юрист в области информационного права юридической компании Lukash&Partners
    В преддверии новогодних корпоративов для многих организаций становится актуальным вопрос избегания штрафов при размещении фотографий, полученных при проведении мероприятия.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...