ABD’li gıda zinciri devi Panera Bread, Mart ayında gerçekleşen fidye yazılımı saldırısında bilinmeyen tehdit aktörlerinin hassas kişisel bilgilerini çalmasının ardından çalışanlarını veri ihlali konusunda bilgilendiriyor.
Şirket ve franchise’ları, Panera Bread veya Saint Louis Bread Co adı altında ABD ve Ontario, Kanada’da 48 eyalete yayılmış 2.160 kafeye sahiptir.
Kaliforniya Başsavcılığı’na gönderilen ihlal bildirim mektuplarında Panera, “güvenlik olayı” olarak tanımladığı bir olayı tespit ettiğini, ihlali kontrol altına almak için önlemler aldığını, olayı araştırması için harici siber güvenlik uzmanlarını işe aldığını ve kolluk kuvvetlerine bilgi verdiğini söyledi.
Şirket, “İlgili dosyalar incelendi ve 16 Mayıs 2024’te bir dosyanın adınızı ve Sosyal Güvenlik numaranızı içerdiğini belirledik” dedi. [PDF].
“İşinizle bağlantılı olarak sağladığınız diğer bilgiler söz konusu dosyalarda yer almış olabilir. Bu mektubun postaya verildiği tarih itibarıyla, erişilen bilgilerin kamuya açıklandığına dair herhangi bir gösterge bulunmamaktadır.”
Panera, bu veri ihlalinden etkilenenlere, kredi izleme, kimlik tespiti ve kimlik hırsızlığı çözümünü içeren CyEx’in Identity Defense Total’e bir yıllık üyelik sağlayacağını söyledi.
Şirket, etkilenen çalışan sayısını, saldırının arkasındaki tehdit aktörünü ve olayın niteliğini henüz kamuya açıklamadı.
Bir fidye yazılımı saldırısında ihlal edildi ve bir hafta süren kesintiye neden oldu
Gıda devi bunu henüz kamuya açık bir şekilde doğrulamasa da BleepingComputer, Nisan ayı başında Panera’nın birçok sanal makine sisteminin bir fidye yazılımı saldırısında şifrelendiğini bildirdi.
Bu ihlalin sonucunda Panera, dahili BT sistemlerini, telefonlarını, satış noktası sistemini, web sitesini ve mobil uygulamalarını etkileyen büyük bir kesinti yaşadı.
Bu yaygın sistem kesintisi sırasında çalışanlar vardiya bilgilerine ulaşamadı ve çalışma programlarını öğrenmek için yöneticileriyle iletişime geçmek zorunda kaldı.
Ödül programı sistemleri çökerken, mağazalar da elektronik ödemeleri işleyemedi ve yalnızca nakit kabul etmek zorunda kaldı, bu da üyelerin puanlarını kullanmalarını engelliyordu.
Ancak Mart ayı ihlalinin arkasında hangi fidye yazılımı operasyonunun olduğu belli değil çünkü hiçbiri sorumluluğu üstlenmedi. Bu, tehdit aktörlerinin ya fidye ödemesini bekledikleri ya da fidyeyi zaten aldıkları anlamına geliyor.
Panera, kesinti ve Mart ayındaki fidye yazılımı saldırısıyla ilgili BleepingComputer’dan gelen çok sayıda yorum talebine yanıt vermedi.