Kelompok peretas ShinyHunters kembali beraksi.
Kali ini, nasib serupa menimpa pelanggan rantai toko roti Panera Bread yang data pribadinya disusupi. Insiden ini tampaknya merupakan bagian dari pelanggaran data yang sama yang telah kami laporkan awal pekan ini, yang sebelumnya menargetkan pengguna Match Group.
Di situs web mereka awal pekan ini, ShinyHunters mengkonfirmasi bahwa mereka berada di balik pelanggaran data Panera Bread yang mengakibatkan lebih dari 14 juta catatan pelanggan dicuri. Data yang dicuri dilaporkan mencakup nama, alamat surel, nomor telepon, alamat rumah, dan detail akun pelanggan.
Panera Bread sejak itu telah mengkonfirmasi terjadinya pelanggaran data tersebut.
Dalam pernyataannya kepada Bloomberg, perusahaan mendeskripsikan data yang disusupi sebagai “informasi kontak”. Panera menyatakan telah menghubungi penegak hukum dan mengambil langkah-langkah untuk menangani insiden ini.
“Pelanggaran data Panera Bread akan sangat menghancurkan bagi mereka yang terdampak,” ujar Ade Clewlow, Associate Director dan Penasihat Senior di konsultan keamanan siber NCC Group, dalam pernyataan kepada Mashable. “Tidak hanya pelanggan yang terdampak menghadapi risiko pencurian identitas, tetapi kita tahu bahwa PII [Informasi Yang Dapat Diidentifikasi Secara Pribadi] dijual kepada kelompok kriminal lain di web gelap yang akan mengeksploitasi korban melalui rekayasa sosial. Gabungan dari PII yang diambil, jika benar, menimbulkan risiko nyata bagi korban peretasan ini.”
Mashable Light Speed
Sebagaimana The Register laporkan, ShinyHunters menyatakan mereka berhasil mengakses basis data Panera Bread melalui kode single-sign-on (SSO) Microsoft Entra.
Okta, platform yang juga menyediakan kode SSO bagi perusahaan, membagikan peringatan baru pekan lalu tentang kampanye pengelabuan suara (vishing) baru yang digunakan oleh penjahat siber. Dalam serangan ini, pelaku biasanya menyamar sebagai pekerja TI dan menelepon target, meminta mereka memasukkan kredensial ke situs web phishing yang dibuat menyerupai platform SSO. Halaman palsu itu mencatat semua yang dimasukkan target, memberikan informasi masuk kepada pelaku.
“Ini sangat selaras dengan peringatan terbaru Okta tentang kompromi SSO yang digerakkan oleh vishing yang menargetkan Okta, Microsoft, dan Google,” kata Cory Michal, CSO di platform keamanan AppOmni, dalam pernyataan kepada Mashable. “Okta telah mendeskripsikan kit khusus yang digunakan secara real-time selama panggilan suara untuk menangkap kredensial/token sesi dan mengalahkan MFA yang tidak tahan-phishing di berbagai ekosistem identitas utama ini.”
Ini bukan pertama kalinya Panera Bread mengalami pelanggaran keamanan daring besar. Kembali pada 2018, seorang profesional keamanan siber melaporkan bahwa Panera Bread telah membiarkan data pribadi jutaan pelanggan terpapar dalam teks biasa di situs webnya.
“Pelajaran besarnya adalah kompromi berulang Panera,” ujar Michal. “Fakta bahwa mereka sudah harus menyelesaikan klaim class-action atas dugaan kegagalan melindungi data konsumen menunjukkan betapa sulitnya bagi organisasi besar dan terdistribusi untuk secara konsisten mengoperasionalkan keamanan SaaS dan identitas dalam skala besar.”
Adapun ShinyHunters, kelompok peretas ini telah mengambil tanggung jawab atas pelanggaran data baru-baru ini yang melibatkan Bumble, Match, dan CrunchBase. Kelompok itu juga memposting data pribadi dari pelanggaran sebelumnya terhadap platform otomotif seperti CarMax, yang diakui oleh kelompok afiliasi yang dikenal sebagai Scattered LAPSUS$ Hunters.
Dalam pernyataan yang diberikan kepada Mashable, Penasihat Senior dan Direktur NCC Group Tim Rawlins mendesak perusahaan untuk mengambil pendekatan yang lebih proaktif terhadap rangkaian insiden keamanan siber terkini ini.
“Kami telah melihat rekayasa sosial yang efektif membujuk staf untuk memberikan detail otentikasi multifaktor (MFA) mereka kepada penyerang yang menyamar sebagai helpdesk mereka, dan ‘pemboman’ MFA di mana anggota staf dibanjiri permintaan MFA hingga mereka merespons. Kedua versi ini memungkinkan penyerang untuk mengkompromikan lingkungan TI,” kata Rawlins. “Satu-satunya penangkal untuk serangan semacam itu adalah kesadaran staf yang lebih baik dan MFA yang tahan terhadap phishing.”