Сервис уведомлений об утечках данных Have I Been Pwned сообщает, что в результате утечки данных американской сети заведений питания Panera Bread пострадали 5,1 миллиона учетных записей, а не 14 миллионов клиентов, как сообщалось ранее.
Компания, основанная в 1987 году, управляет почти 2300 пекарнями-кафе в 48 штатах США и в Онтарио, Канада, под названиями Panera Bread или Saint Louis Bread Co.
Отчет Have I Been Pwned появился после того, как в конце января группа вымогателей ShinyHunters заявила, что они похитили широкий спектр персональных данных (PII) и контактной информации более чем 14 миллионов учетных записей пользователей Panera Bread. Киберпреступная группа с тех пор опубликовала архив объемом около 760 МБ документов на своем сайте утечек в даркнете, содержащий данные, украденные у Panera Bread.
«Эти файлы были опубликованы на DLS ShinyHunters, потому что жертва не заплатила выкуп и не сотрудничала с группой ShinyHunters», — говорится в текстовом файле, приложенном к архиву утечки.
ShinyHunters сообщили BleepingComputer, что они получили доступ к системам Panera через код единого входа (SSO) Microsoft Entra. Атака была частью новой кампании фишинга (вишинга) ShinyHunters , нацеленной на учетные записи с единым входом (SSO) в Okta, Microsoft и Google в более чем 100 известных организациях.
«В январе 2026 года Panera Bread пострадала от утечки данных, которая раскрыла 14 миллионов записей», — сообщил сервис уведомлений об утечках данных Have I Been Pwned в выходные. «После неудачной попытки вымогательства злоумышленники опубликовали данные публично, включая 5,1 миллиона уникальных адресов электронной почты вместе с соответствующей информацией об учетной записи, такой как имена, номера телефонов и физические адреса».
В то время как другие новостные издания сразу после заявления ShinyHunters об атаке сообщили, что утечка затронула 14 миллионов клиентов Panera Bread, на сайте группы вымогателей пояснили, что это число относится к записям, украденным во время атаки. По подсчетам BleepingComputer, эти украденные записи содержат личную информацию примерно 5 120 000 уникальных учетных записей пользователей, что может представлять меньшее количество клиентов, поскольку каждый пострадавший человек мог использовать более одной учетной записи.
BleepingComputer также обнаружил более 26 000 уникальных адресов электронной почты panerabread.com, вероятно, принадлежащих сотрудникам Panera Bread, чьи персональные данные были украдены в результате утечки.
Хотя Panera Bread еще не подала уведомления об утечке данных и не сделала официального заявления об инциденте, компания уведомила власти и подтвердила утечку, заявив, что «затронутые данные — это контактная информация».
В рамках той же серии атак вишинга ShinyHunters также взломали гиганта онлайн-знакомств Match Group, который владеет множеством популярных сервисов знакомств, включая Tinder, Match.com, Hinge, Meetic и OkCupid.
Match Group с тех пор подтвердила, что злоумышленники украли «ограниченное количество пользовательских данных» после того, как ShinyHunters опубликовали 1,7 ГБ сжатых файлов, предположительно содержащих внутренние документы и около 10 миллионов записей с информацией пользователей Hinge, OkCupid и Match.
Аудиостриминговая платформа SoundCloud также подтвердила атаку ShinyHunters в декабре, после широко распространенных сообщений о том, что пользователи сталкиваются с ошибками 403 «Запрещено» при подключении через VPN. Атака привела к утечке данных, затронувшей 29,8 миллиона учетных записей, как выяснил Have I Been Pwned на прошлой неделе.
BleepingComputer обратился к Panera Bread с вопросами об инциденте в декабре 2025 года, но ответ не был получен немедленно.
Panera Bread также уведомила сотрудников об утечке данных в июне 2024 года после того, как злоумышленники украли их личную информацию в результате атаки программы-вымогателя в марте 2024 года, которая вызвала общенациональный сбой в ИТ-инфраструктуре.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
