Una corriente de clientes de Chipotle ha dicho que sus cuentas han sido hackeadas y están reportando pedidos fraudulentos cargados a sus tarjetas de crédito, que a veces suman cientos de dólares.
Los clientes han publicado en varios subprocesos de Reddit quejándose de violaciones de cuenta y muchos más han twitteado en @ChipotleTweets Para alertar al gigante de la comida rápida del problema. En la mayoría de los casos, las órdenes se sometieron a la cuenta de la víctima y se entregaron a direcciones a menudo ni siquiera en el estado de la víctima.
Muchos de los clientes a los que TechCrunch habló en los últimos dos días dijeron que usaron la contraseña de su cuenta de Chipotle en otros sitios. La portavoz de Chipotle, Laurie Schalow, le dijo a TechCrunch que el relleno de credenciales era el culpable. Los piratas informáticos toman listas de nombres de usuario y contraseñas de otros sitios violados y forzan su entrada en otras cuentas.
Pero varios clientes con los que hablamos dijeron que su contraseña era exclusiva de Chipotle. Otro cliente dijo que no tenía una cuenta, pero que había ordenado a través de la opción de pago de invitado de Chipotle.
Cuando le preguntamos a Chipotle sobre esto, Schalow dijo que la compañía está "monitoreando cualquier posible problema de seguridad de la cuenta de la que tengamos conocimiento y que no tengamos indicios de una violación de los datos privados de nuestros clientes", y reiteró que los datos de la compañía al relleno de credenciales.
Es un conjunto similar de quejas presentadas por los clientes de DoorDash el año pasado, quienes dijeron que se había accedido indebidamente a sus cuentas. DoorDash también culpó a los trucos de cuentas en el relleno de credenciales, pero no pudo explicar cómo se violaron algunas cuentas, incluso cuando los usuarios le dijeron a TechCrunch que usaron una contraseña única en el sitio.
Si el relleno de credenciales es el culpable de las infracciones de la cuenta Chipotle, la implementación de la autenticación de dos factores ayudaría a evitar el proceso de inicio de sesión automático, y colocará una barrera adicional entre un pirata informático y la cuenta de la víctima.
Pero cuando se le preguntó si Chipotle planea implementar una autenticación de dos factores para proteger a sus clientes en el futuro, el portavoz Schalow no quiso hacer comentarios. "No discutimos nuestras estrategias de seguridad".
Chipotle reportó una brecha de datos en 2017 que afectó a sus 2,250 restaurantes. Los piratas informáticos infectaron sus dispositivos de punto de venta con programas maliciosos, eliminando millones de tarjetas de pago de incautos clientes de restaurantes. Más de cien cadenas de comida rápida y restaurantes también se vieron afectadas por las mismas infecciones de malware.
En agosto, tres sospechosos de los miembros del grupo de piratería y fraude FIN7 fueron acusados de robos de tarjetas de crédito.