Miłośnicy meksykańskiej kuchni w USA ponoszą „dodatkowe koszty”, co nie jest dla nich powodem do zadowolenia. Korzystając z serwisów Twitter i Reddit zaczęli informować opinię publiczną o tym, że sieć restauracji Chipotle nie reaguje na zgłaszane przypadki uzyskiwania dostępu przez hakerów do kart płatniczych, zarejestrowanych na kontach klientów sieci.
W kilku wątkach Twittera i Reddita czytamy, że klienci Chipotle z różnych stanów Ameryki zauważają na swoich wyciągach bankowych fałszywe obciążenia, niektóre osiągające setki dolarów. Jak podaje TechCrunch, większość skarg dotyczy zamówień składanych z ich konta i dostarczanych na adresy o zupełnie innych kodach pocztowych. Najwyraźniej proceder ten trwa już co najmniej kilka miesięcy.
Niektórzy klienci przysięgają, że ich hasła są unikalne dla kont Chipotle, co sugerowałoby, iż system sieci restauracji został naruszony. Jednak przedstawiciel firmy oświadczył, że przy włamywaniu się do kont hakerzy zastosowali „wypychanie poświadczeń” (ang. credential stuffing) – jest to technika polegająca na kradzieży poświadczeń we wcześniejszych naruszeniach danych, która jest skuteczna tylko wtedy, gdy ofiara używa tych samych poświadczeń (w tym tego samego hasła) dla kilku różnych kont. Co istotne, jeden z poszkodowanych klientów powiedział, że nie posiada nawet konta w Chipotle, a przy składaniu zamówienia korzystał z opcji niewymagającej rejestracji.
Rzecznik prasowy Chipotle, Laurie Schalow, powiedziała, że firma „monitoruje wszelkie możliwe problemy związane z bezpieczeństwem konta”, ale utrzymuje, że nic nie wskazuje na naruszenie prywatnych danych klientów.
Co jest istotne, Chipotle nie oferuje w swojej aplikacji uwierzytelniania dwuskładnikowego (2FA). Na pytanie, czy mając na uwadze bezpieczeństwo klientów wdroży je teraz, rzecznik odpowiedziała TechCrunch, że „nie dyskutujemy o naszej strategii bezpieczeństwa”.
Biorąc pod uwagę zgłaszane skargi, Chipotle nie może odmawiać prasie wyjaśnień – zwłaszcza że 2FA stało się koniecznością we współczesnym cyfrowym świecie. Co gorsza, ofiary przestępstwa zgłaszają trudności w wyegzekwowaniu od firmy wyjaśnienia sytuacji.
Poza wszystkim trzeba przyznać, że niektórzy klienci istotnie padli ofiarą wypychania poświadczeń: „Przydarzyło mi się to” – napisał użytkownik Reddita, używający identyfikatora Thelonius16. „W moim przypadku korzystałem z hasła, które zostało naruszone na innej stronie, więc nie była to wina Chipotle”.
– Naruszone konta będą stanowiły dla Chipotle problem tak długo, dopóki sieć restauracji nie wprowadzi niezbędnych zabezpieczeń, takich jak 2FA, które będą lepiej chronić klientów przed cyberprzestępcami – tłumaczy Wszebor Kowalski, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe.