Et massivt databrud hos Krispy Kreme har udløst en gruppesøgsmålssag efter, at følsomme medarbejderoplysninger blev eksponeret. Cyberangrebet i november 2024 berørte over 160.000 nuværende og tidligere ansatte.
Bruddet og retssagen
Advokater indgav det foreslåede gruppesøgsmål ved North Carolinas Western District Court den 21. juni 2025.
Søgsmålet følger efter brudnotifikationsbreve sendt af Krispy Kreme til de berørte.
Lily Peace, en tidligere medarbejder fra North Dakota, fører gruppesøgsmålet mod doughnut-kæden.
Sagen anklager Krispy Kreme for at have undladt at beskytte medarbejderdata og efterladt dem ukrypterede.
En dommer har godkendt, at det juridiske team kan fortsætte sagen.
Ubeskyttede data eksponeret
Krispy Kreme-databruddet afslørede en bred vifte af følsomme oplysninger:
- Navne, adresser og e-mails
- Personnumre og fødselsdatoer
- Kørekort, statslige ID’er, militære ID’er og pasnumre
- Aliens registreringsnumre
- Finansielle konti, brugernavne, adgangskoder og kortsikkerhedskoder
- Digitale underskrifter og biometriske data
- Beskyttede sundhedsoplysninger (PHI), herunder medicinske og forsikringsdetaljer
Søgsmålet fremhæver, at Krispy Kreme undlod at kryptere eller redigere nogen af disse højt følsomme oplysninger.
Play ransomware-gangs involvering
Play ransomware-gangen tog ansvar for Krispy Kreme-databruddet.
De annoncerede angrebet offentligt tre uger efter bruddet fandt sted i slutningen af november 2024.
Gruppen truede med at offentliggøre de stjålne data den 21. december 2024, men det er uklart, om det skete.
Krispy Kreme bekræftede, at angrebet forstyrrede forretningsdriften og onlineordresystemerne.
Dog opretholdt virksomheden, at tjenester i butikken på alle 1.400 lokationer forblev upåvirkede.
Forsinket reaktion og kritik
Søgsmålet påpeger, at Krispy Kreme forsinkede med at underrette de berørte personer i næsten seks måneder.
Selv da manglede brudnotifikationsbrevene væsentlige oplysninger om hændelsen.
En talsmand fra virksomheden oplyste, at der ikke var kendte tilfælde af identitetstyveri eller bedrageri relateret til bruddet.
Det juridiske team argumenterer dog for, at manglende databeskyttelse udsætter ofrene for livslang risiko.
Livslange risici og skader
Krispy Kreme-databruddet udsætter ofrene for potentiel identitetstyveri, bedrageri og chikane.
Gruppesøgsmålet hævder, at bruddet har forårsaget:
- Krænkelse af privatlivets fred
- Øget spam-opkald, e-mails og sms’er
- Tabt tid og omkostninger forbundet med at forhindre yderligere skader
Sagen anklager Krispy Kreme for at have handlet uforsvarligt og forsømt ved ikke at implementere ordentlig cybersikkerhed.
Den fortsatte eftervirkning
Med mere end 160.000 berørte personer kan sagen få vidtrækkende konsekvenser.
Gruppesøgsmålet søger erstatning og forbedringer af Krispy Kremes datasikkerhedspraksis.
Play ransomware-gangens involvering understreger også den voksende trussel fra cyberkriminelle, der retter sig mod store virksomheder.
Efterhånden som ransomware-gangs udvikler sig, må virksomheder prioritere databeskyttelse for at undgå lignende brud.
Konklusion
Krispy Kreme-databruddet tjener som en skarp påmindelse om vigtigheden af cybersikkerhed.
De eksponerede data påvirker ikke kun medarbejdere, men også deres familier og tidligere ansatte.
Som gruppesøgsmålet skrider frem, bliver organisationer overalt mindet om:
Manglende beskyttelse af personlige data kan føre til retssager, omdømmeskade og varig skade for ofrene.
0 svar til “Krispy Kreme-databrud udløser gruppesøgsmål over eksponerede medarbejderoplysninger”