Fiscal General James Demanda a Dunkin’ Donuts por Dulcificar Ciberataques Contra Miles de sus Clientes

Dunkin’ Nunca Investigó o Notificó a los Casi 20,000 Clientes Afectados 
Después de Haber Sido Informados del Pirateo de Cuentas en 2015

NUEVA YORK – La Fiscal General del Estado de NY, Letitia James, anunció hoy una demanda contra la empresa Dunkin 'Brands, Inc., franquiciador de la cadena Dunkin' Donuts, por no proteger a miles de clientes en una serie de ataques cibernéticos. La compañía no informó a casi 20,000 clientes de que sus cuentas habían sido comprometidas, a pesar de que sus datos y fondos personales estaban en peligro. Dunkin’ tampoco investigó una serie de ataques que lo ayudarían a determinar qué otras cuentas se habían visto afectadas, qué información del cliente se había adquirido y si se habían robado fondos de sus clientes.  

"Dunkin’ no protegió la seguridad de sus clientes", dijo la Fiscal General Letitia James. "En vez de notificar a las decenas de miles de personas afectadas por estas infracciones de seguridad cibernética, Dunkin’ se quedó de brazos cruzados, poniendo en riesgo a los clientes. Mi oficina está comprometida a proteger los datos de los consumidores y hacer que las empresas sean responsables de implementar prácticas de seguridad seguras".  

La demanda está relacionada a cuentas de los clientes de la compañía creadas a través del sitio web de Dunkin’ o en la aplicación móvil gratuita para dispositivos Android e iOS. Estas cuentas permiten a los clientes administrar "tarjetas DD"--tarjetas de valor almacenado que los clientes pueden usar para realizar compras tanto en las tiendas Dunkin’ como por la internet. Para alentar a los clientes a crear cuentas, Dunkin’ decía que la compañía estaba utilizando medidas de seguridad razonables para proteger la información personal de los clientes contra la pérdida, el uso indebido y el acceso y la divulgación no autorizados. 

A principios de 2015, las cuentas de los clientes fueron sometidas a una serie de "ataques de fuerza bruta", que son intentos repetidos y automatizados para obtener acceso a las cuentas, a menudo utilizando nombres de usuario y contraseñas robadas a través de brechas y violaciones de seguridad de otras páginas de internet o servicios cibernéticos no relacionados. En una ocasión, un individuo que obtuvo acceso a la cuenta Dunkin’ de un cliente no solo pudo usar las tarjetas DD registradas en la cuenta para realizar compras, sino que también podía vender las tarjetas DD por internet. En cuestión de meses, decenas de miles de cuentas de clientes se vieron comprometidas por estos ataques y se robaron decenas de miles de dólares en las tarjetas DD de los clientes. 

En mayo de 2015, el personal de Dunkin’ estaba recibiendo reportes de los clientes de que los atacantes estaban obteniendo acceso a sus cuentas. Además, durante un período de varios meses, en el verano de 2015, un creador de aplicaciones externo para Dunkin' alertó repetidamente a la compañía sobre los intentos continuos de los atacantes de iniciar sesiones en las cuentas de los clientes, e incluso proporcionó a Dunkin' una lista de 19,715 cuentas que habían sido comprometidas por los atacantes en un período de solamente cinco días. 

Sin embargo, Dunkin’ no tomó ninguna medida para proteger a los casi 20,000 clientes, o los potencialmente miles más que no sabían lo ocurrido, al no notificarles el acceso no autorizado, pidiéndoles restablecer las contraseñas de sus cuentas para evitar un mayor acceso no autorizado o congelando sus tarjetas DD. Dunkin’ tampoco realizó ninguna investigación o análisis de los ataques para determinar cuántas cuentas más se habían visto afectadas, qué información se había adquirido y si se habían robado los fondos de los clientes. 

Además, después de los ataques de 2015 y a pesar de los informes de fraude continuo por parte de los clientes, Dunkin’ no implementó las medidas de seguridad apropiadas para limitar futuros ataques de fuerza bruta a través de la aplicación móvil. A finales de 2018, un proveedor informó a Dunkin’ que las cuentas de los clientes habían sido atacadas nuevamente y que los ataques habían provocado el acceso no autorizado a más de 300,000 cuentas de clientes de Dunkin’, muchas de las cuales tenían tarjetas DD vinculadas a ellas. Aunque, esta vez, Dunkin’ contactó a los clientes afectados por estos ataques, la compañía no reveló que los atacantes habían tenido acceso a las cuentas sin autorización. Más bien, Dunkin’ declaró falsamente que un tercero simplemente había "intentado" acceder a las cuentas de los clientes y que en ese intento quizás no tuvieron éxitos. 

La demanda alega específicamente que Dunkin' violó la ley de notificación de violación de datos de Nueva York, la Ley General de Negocios § 899-aa, al no notificar a los consumidores y a las autoridades del Estado de Nueva York sobre la violación de datos de 2015, y al no notificar con precisión a los consumidores sobre la violación de datos de 2018. La demanda también alega que Dunkin' violó las leyes de protección al consumidor de Nueva York, incluyendo la Ley Ejecutiva § 63 (12), y la Ley General de Negocios §§ 349 y 350, al tergiversar los hechos a los consumidores haciéndoles creer que proporcionaba garantías razonables para proteger la información personal cuando se inscribieron, por primera vez, para abrir sus cuentas. La demanda exige la implementación de medidas cautelares, la restitución total a los clientes, sanciones civiles y otros recursos. 

La Oficina de la Fiscal General del Estado de Nueva York recuerda a los consumidores que revisen regularmente los saldos de sus cuentas, ya sea que usen tarjetas de regalo prepagas o tarjetas de crédito, para detectar actividades inusuales y asegurarse de que no hayan sido víctimas de robo.  

Este caso es manejado por el Asesor Superior de Cumplimiento Jordan Adler y la Fiscal General Adjunta Johanna Skrzypczyk del Buró de Internet y Tecnología; bajo la supervisión del Jefe de la Oficina, Kim A. Berger; y el Jefe Adjunto de la Oficina, Clark P. Russell. El Buró de Internet y Tecnología es supervisado por el Fiscal General Ejecutivo Adjunto de Justicia Económica, Christopher D'Angelo.