NUEVA YORK – La empresa de cafés Dunkin' Donuts fue demandada por la ciudad de Nueva York por supuestamente no notificar a casi 20,000 clientes que sus cuentas habían sido comprometidas y que su información y fondos personales estaban en peligro en 2015 durante un ataque cibernético.
La demanda también señala que Dunkin’ no informó adecuadamente a sus clientes cuando piratas cibernéticos accedieron a más de 300,000 cuentas de clientes tres años después, según la instancia presentada por la Fiscal General de Nueva York Letitia James el jueves.
"Dunkin’ no pudo proteger la seguridad de sus clientes ", dijo James en un comunicado el jueves. "Y en lugar de notificar a decenas de miles de personas afectadas por estas infracciones de seguridad cibernética, Dunkin’ se quedó de brazos cruzados, poniendo en riesgo a los clientes. Mi oficina está comprometida a proteger los datos del consumidor y responsabilizar a las empresas para que implementen prácticas de seguridad".
La demanda de James contra Dunkin' Brands, Inc., franquiciador de Dunkin', también alega que Dunkin' no realizó una investigación sobre una serie de ataques que lo ayudaría a determinar si otras cuentas habían sido comprometidas, así como qué información de clientes fueron adquiridas y si los fondos de los clientes fueron robados.
La demanda involucra cuentas de clientes creadas a través de la página web de Dunkin’ o una aplicación móvil gratuita, según el fiscal general, quien también señala que, para atraer a los clientes a crear estas cuentas, Dunkin' supuestamente afirmó falsamente que la compañía estaba usando salvaguardas para proteger la información personal de los clientes.
Estas cuentas permiten a los clientes administrar “tarjetas DD”, que son tarjetas de valor almacenado que les permite a los clientes realizar compras tanto en tiendas físicas como en línea.
James afirma que a partir de principios de 2015, las cuentas de los clientes fueron objeto de una serie de "ataques de fuerza bruta", que son intentos repetidos y automatizados para obtener acceso a las cuentas utilizando nombres de usuario y contraseñas robados a través de violaciones de seguridad de otros sitios web o servicios en línea no relacionados.
Un atacante que obtuvo acceso a la cuenta Dunkin’ de un cliente no solo podía usar tarjetas DD registradas en la cuenta para realizar compras, sino que también podía vender las tarjetas DD en por internet, dice James, agregando que en cuestión de meses decenas de miles de las cuentas de clientes se vieron comprometidas por este tipo de ataques y se robaron decenas de miles de dólares en tarjetas DD de clientes.
Según James, en mayo de 2015, el personal de Dunkin’ recibió informes de clientes de que los atacantes estaban obteniendo acceso a sus cuentas. Supuestamente, durante el verano de 2015, un desarrollador de aplicaciones externo para Dunkin' alertó repetidamente a la compañía sobre los intentos continuos de los atacantes de iniciar sesiones en las cuentas de los clientes, e incluso proporcionó a Dunkin' una lista de 19,715 cuentas que habían sido comprometidas en solo un período de cinco días.
Local
Sin embargo, según la demanda, Dunkin' no tomó ninguna medida para proteger a estos casi 20,000 clientes, o los potencialmente miles más, para notificarles sobre el acceso no autorizado, restablecer las contraseñas de sus cuentas para evitar un mayor acceso no autorizado, o congelar sus tarjetas DD.
James también afirma que Dunkin’ no realizó ninguna investigación o análisis de los ataques.
Además, después de los ataques en 2015, Dunkin’ no pudo implementar salvaguardas apropiados para limitar futuros ataques a través de la aplicación móvil, a pesar de los informes de los clientes de fraude continuo en sus cuentas.
A fines de 2018, un proveedor notificó a Dunkin’ que las cuentas de los clientes habían sido atacadas nuevamente, lo que resultó en el acceso no autorizado de más de 300,000 cuentas de sus clientes; muchas de estas cuentas tenían tarjetas DD asociadas, dice James. Y, aunque Dunkin’ contactó a los clientes afectados esta vez, la compañía no reveló que se había accedido a las cuentas de los clientes sin autorización, dijo James agregando que, en cambio, la compañía solo dijo que una entidad simplemente "intentó" entrar a las cuentas de los clientes y que el intento pudo no haber sido exitoso.
La demanda de James alega que Dunkin' violó el estatuto de notificación de violación de datos del estado al no contactar a los consumidores y las autoridades sobre la violación de 2015 y no notificó adecuadamente a los consumidores sobre la violación de datos de 2018. La demanda también alega que Dunkin’ violó las leyes de protección al consumidor de Nueva York.
La demanda busca desagravio por mandato judicial, restitución total a los clientes, sanciones civiles y otros recursos.
En un comunicado, la directora de comunicaciones de Dunkin' Brands Inc., Karen Raskopf, dijo: "No hay absolutamente ninguna base para estas alegaciones de parte de la Oficina del Fiscal General de Nueva York. Durante más de dos años, hemos cooperado plenamente con la investigación de la [fiscal general] sobre este asunto, y estamos decepcionados de que decidieran seguir adelante con esta demanda dada la falta de mérito para su caso".
Según Raskopf, el incidente de 2015 se centra en que entidades intentaron "sin éxito" acceder a unas 20,000 cuentas de la aplicación Dunkin', pero la base de datos en cuestión no contenía información de la tarjeta de pago del cliente.
"Nos tomamos en serio la seguridad de los datos de nuestros clientes y contamos con protecciones sólidas de datos", continúa el comunicado de Raskopf. "Esperamos probar nuestro caso en la corte".
