Ci-dessous se trouve votre rappel quotidien indiquant qu’il n’existe pas de sécurité absolue.
Paraphrase: Panera Bread, la populaire chaîne de boulangeries originaire de St. Louis, est la dernière entreprise à démontrer un manque d’engagement envers la protection des données de ses clients.
Le site internet de l’entreprise alimentaire aurait exposé entièrement les informations personnelles de ses clients à n’importe qui souhaitant y accéder.
Les informations telles que les noms, adresses e-mail et physiques, dates d’anniversaire et les quatre derniers chiffres des numéros de cartes de crédit des clients ont été rendues publiques en ligne, comme l’a signalé Brian Krebs, spécialiste de la cybersécurité, qui a aidé à diffuser ces informations.
Le spécialiste en sécurité Dylan Houlihan a d’abord constaté en août 2017 que le site internet de Panera Bread exposait les données des clients, y compris les siennes, de manière non sécurisée et facilement lisible en texte brut.
Suite à une série de messages électroniques et de fausses allégations le qualifiant de fraudeur ou de personne intéressée par une récompense, Mike Gustavison, qui occupe le poste de Directeur de la sécurité de l’information chez Panera Bread, a finalement répondu en indiquant qu’ils étaient en train de chercher une solution.
Houlihan a vérifié chaque mois pendant huit mois si le problème de sécurité avait été résolu, mais sans succès. Il décide de prendre les choses en main en faisant appel à Krebs pour révéler publiquement la faille de sécurité chez Panera Bread, espérant ainsi inciter l’entreprise à agir plus rapidement pour corriger le problème.
Selon les informations, un grand nombre de données d’utilisateurs auraient pu être compromises. Malgré cela, Panera Bread a tenté de minimiser l’ampleur de la violation de données en affirmant à Fox News que seuls 10 000 dossiers clients ont été affectés.
Par la suite, Panera Bread a affirmé que la vulnérabilité de sécurité avait été corrigée, mais Krebs a constaté qu’elle n’avait en réalité pas été résolue.
En peu de temps, plusieurs sources, notamment @holdsecurity, ont noté que Panera a résolu le problème en demandant aux utilisateurs de se connecter à un compte valide sur panerabread.com pour accéder aux données des clients exposées, au lieu de permettre à quiconque ayant le bon lien d’y accéder.
Selon @onsecurity, il est possible que jusqu’à 37 millions de dossiers clients aient été touchés.
Au moment de la publication, le site Internet de Panera Bread demeure hors service.
Nous sommes arrivés chez Panera Bread pour discuter de la raison pour laquelle il a ignoré les avertissements de Houlihan et n’a pas corrigé la faille pendant huit mois. Nous mettrons à jour cet article dès que nous aurons des nouvelles à ce sujet.
Sujet : Sécurité informatique
Raymond Wong est le rédacteur en chef de Mashable, où il se penche sur les nouvelles technologies et les gadgets, tout en analysant l’industrie technologique. Il est passionné par les jeux vidéo, un amateur de chocolat et un peu geek. Avant de rejoindre Mashable, il a occupé le poste de rédacteur en chef adjoint chez DVICE de NBC Universal. Ses articles ont été publiés sur divers sites tels que G4TV, BGR, Yahoo et Ubergizmo. Pour le suivre, vous pouvez consulter son compte Twitter @raywongy ou son compte Instagram @sourlemons.