Dans une lettre envoyée jeudi aux utilisateurs concernés, Chick-fil-A indique que la violation peut avoir exposé des données personnelles telles que des noms, des anniversaires, des adresses e-mail, des mots de passe de compte et des informations de carte de crédit/débit. La société privée basée à Atlanta a informé ces membres de la violation et des prochaines étapes à suivre.

« Nous ne voulons jamais que nos clients vivent quelque chose comme ça et nous avons communiqué directement avec les personnes concernées pour résoudre ces problèmes, tout en prenant les efforts nécessaires pour protéger nos systèmes et nos clients pour l’avenir », indique le communiqué. « Nous sommes reconnaissants de la patience de nos clients pendant que nous travaillions pour résoudre ce problème et nous nous excusons sincèrement pour tout inconvénient causé. »

Lisez la déclaration complète ci-dessous :

Voir maintenant : le modèle de franchise non conventionnel derrière le succès de Chick-fil-A

Le 4 janvier, Chick-fil-A a publié une déclaration indiquant qu’il était au courant d’activités suspectes sur certains des comptes Chick-fil-A One de ses clients. La société a déclaré qu’elle enquêtait sur la manière dont certains clients avaient été victimes de l’activité frauduleuse, qui, selon elle, n’était pas due à une compromission de ses systèmes internes.

Chick-fil-A a été victime d’attaques de « credential stuffing », avec des comptes volés et vendus en ligne, selon des rapports, le site Web Bleeping Computer signalant que des comptes ont été vendus pour 2 à 200 dollars. Dans le credential stuffing, les identifiants volés sont utilisés pour se connecter à un autre service.

Dans une lettre aux clients concernés qui a été déposée auprès du bureau du procureur général de Californie, Chick-fil-A a déclaré que des « parties non autorisées » avaient lancé une attaque automatisée contre son site Web et son application mobile entre le 18 décembre 2022 et le 12 février 2023. , à l’aide des informations d’identification du compte telles que les adresses e-mail et les mots de passe. Les informations d’identification du compte ont été obtenues auprès d’une source tierce, a-t-il déclaré.

« Ces informations peuvent avoir inclus votre nom, votre adresse e-mail, votre numéro de membre Chick-fil-A One et votre numéro de paiement mobile, votre code QR, votre numéro de carte de crédit/débit masqué et le montant du crédit Chick-fil-A (par exemple, e- solde de la carte-cadeau) sur votre compte (le cas échéant) », a ajouté la société. « De plus, si elles sont enregistrées sur votre compte, les informations peuvent avoir inclus le mois et le jour de votre anniversaire, votre numéro de téléphone et votre adresse. Il est important de noter que les parties non autorisées n’auraient pu voir que les quatre derniers chiffres de votre numéro de carte de paiement. »

Voir maintenant: La vie dépensière des adolescents américains: Chick-fil-A, Nike et bitcoin

Chick-fil-A dit que, dès qu’il a découvert l’incident, il a demandé aux clients de réinitialiser les mots de passe, de supprimer tous les modes de paiement par carte de crédit/débit stockés et de geler temporairement les fonds précédemment chargés sur les comptes Chick-fil-A One des clients. « Nous avons également restauré les soldes des comptes Chick-fil-A One des clients, qui peuvent avoir inclus un remboursement sur votre mode de paiement d’origine, dans la mesure du possible », a-t-il déclaré.

La société a également exhorté les clients concernés à réinitialiser leurs mots de passe, s’ils ne l’ont pas déjà fait, et à utiliser un nouveau mot de passe fort, unique à Chick-fil-A. La chaîne de restaurants fournit également des informations sur son site Web aux clients qui remarquent une activité suspecte sur leurs comptes.

Si les clients ont des questions sur l’incident ou leur compte, ils peuvent appeler Chick-fil-A via ce numéro sans frais : (833) 753-4428.

Les experts en confidentialité ont exhorté les clients de Chick-fil-A à être à l’affût des escroqueries. « Les mauvais acteurs ont définitivement récolté beaucoup d’informations sur les clients dans cette brèche, saisissant plus qu’assez d’informations pour faciliter de nombreux stratagèmes de phishing », a déclaré Chris Hauk, défenseur de la vie privée des consommateurs sur le site Web Pixel Privacy. « Les clients de Chick-fil-A doivent rester attentifs aux e-mails, SMS et appels téléphoniques de phishing. »

« Cet incident souligne la nécessité de définir des mots de passe uniques pour chacun de vos comptes en ligne », a déclaré Paul Bischoff, défenseur de la confidentialité sur le site Web d’informations sur la confidentialité de Comparitech. « Si vous réutilisez le même mot de passe sur plusieurs comptes et que l’un d’eux est compromis, alors ils peuvent tous être compromis. »

Bischoff a exhorté les clients à utiliser un gestionnaire de mots de passe s’ils ne peuvent pas mémoriser des mots de passe uniques et activer l’authentification à deux facteurs sur leurs comptes Chick-fil-A.