Tecnología

La cadena de supermercados estadounidense Wegmans notifica a los clientes sobre la violación de datos

La cadena de supermercados estadounidense Wegmans notifica a los clientes sobre la violación de datos

Wegmans Food Markets notificó a los clientes que parte de su información fue expuesta después de que la compañía se dio cuenta de que dos de sus bases de datos eran de acceso público en Internet debido a un problema de configuración.

Wegmans es una importante cadena de supermercados regionales con 106 tiendas en las regiones del Atlántico medio y noreste (es decir, Nueva York, Pensilvania, Nueva Jersey, Virginia, Maryland, Massachusetts y Carolina del Norte).

La cadena de tiendas se fundó en 1916 y es una de las empresas privadas más grandes de EE. UU. Y emplea a más de 50.000 personas.

No hay información de pago expuesta en el incidente.

«Recientemente nos dimos cuenta de que, debido a un problema de configuración no descubierto anteriormente, dos de nuestras bases de datos en la nube, que se utilizan con fines comerciales y están destinadas a mantenerse internas a Wegmans, se dejaron sin darnos cuenta de un posible acceso externo», dijo la cadena de supermercados. dijo en un presione soltar.

«Este problema nos lo llamó la atención por primera vez un investigador de seguridad externo y luego confirmamos el problema de configuración, a partir del 19 de abril de 2021 o alrededor de esa fecha».

Después de que se descubrió la violación de datos, Wegmans contrató a una firma forense líder para investigar el incidente y corregir la configuración incorrecta de la base de datos.

La información del cliente expuesta en la violación de datos incluyó nombres, direcciones, números de teléfono, fechas de nacimiento, números de Shoppers Club y direcciones de correo electrónico y contraseñas de cuentas de Wegmans.com.

Sin embargo, según Wegmans, las bases de datos que solo contenían hashes de contraseñas saladas eran hash y saladas, y las contraseñas reales no se almacenaban en las bases de datos no seguras.

«Los números de la seguridad social no se vieron afectados (Wegmans no recopila esta información de sus clientes) ni se vio involucrada ninguna tarjeta de pago o información bancaria», agregó la empresa.

Aunque todas las contraseñas de Wegmans.com afectadas estaban protegidas mediante hash, como medida conservadora, puede cambiar la contraseña de su cuenta de Wegmans.com, así como de cualquier otra cuenta para la que utilice la misma contraseña. Por lo general, es una buena idea utilizar una contraseña única para cada cuenta online que pueda tener. – Wegmans

Advertencia de ataque de relleno de credenciales tres meses antes

A fines de marzo, la cadena de supermercados también notificó a los clientes sobre ataques de relleno de credenciales utilizando credenciales robadas de otros servicios online y que afectaron a más de 2.7000 cuentas en enero.

«Es probable que sus credenciales de inicio de sesión se hayan obtenido de otra fuente, por ejemplo, el compromiso de otra empresa o sitio web, donde puede haber utilizado las mismas o similares credenciales de inicio de sesión», dijo dijo en una carta de notificación enviado a los clientes afectados en marzo.

«Esto se conoce como un ataque de ‘relleno de credenciales’, que puede ocurrir cuando las personas usan las mismas credenciales de inicio de sesión en varios sitios web».

Después de descubrir el incidente a mediados de febrero, Wegmans descubrió que los atacantes podían obtener acceso a nombres, números de teléfono, direcciones, fechas de nacimiento y números de Wegmans Shoppers Club asociados con las cuentas de Wegmans.com comprometidas.

La información de pago con tarjeta de crédito o débito no se expuso en el incidente porque Wegmans no almacena dicha información en sus servidores.

Wegmans también bloqueó el acceso del atacante al forzar un restablecimiento de contraseña para todas las cuentas afectadas para evitar futuros inicios de sesión.

También se recomendó a los clientes afectados que no usaran las mismas credenciales (es decir, correos electrónicos y contraseñas) para múltiples plataformas online, incluido el correo electrónico, la banca, las redes sociales y otras cuentas de minoristas.

Un portavoz de Wegman no estuvo disponible para hacer comentarios cuando Bleeping Computer lo contactó hoy.

Leave a Comment

You may also like

Más