Et massivt datainnbrudd hos Krispy Kreme har utløst en gruppesøksmål etter at sensitiv ansattinformasjon ble eksponert. Cyberangrepet i november 2024 rammet over 160 000 nåværende og tidligere ansatte.
Datainnbruddet og rettslige skritt
Advokater leverte det foreslåtte gruppesøksmålet i Western District Court i North Carolina 21. juni 2025. Søksmålet følger på varsler om brudd som Krispy Kreme sendte til de berørte. Lily Peace, en tidligere ansatt fra North Dakota, leder gruppesøksmålet mot doughnut-kjeden.
Saken anklager Krispy Kreme for å ikke ha beskyttet ansattdata og for å ha latt disse være ukryptert. En dommer har godkjent det juridiske teamet til å gå videre med søksmålet.
Ubeskyttede data eksponert
Krispy Kreme-datainnbruddet avslørte en rekke sensitive opplysninger:
- Navn, adresser og e-poster
- Sosial sikkerhetsnummer og fødselsdatoer
- Førerkort, stats-ID, militær-ID og passnummer
- Utlendingsregisternummer
- Finansielle kontoer, brukernavn, passord og kortsikkerhetskoder
- Digitale signaturer og biometriske data
- Beskyttet helseinformasjon (PHI), inkludert medisinske og forsikringsdetaljer
Søksmålet påpeker at Krispy Kreme ikke krypterte eller fjernet noen av disse svært sensitive dataene.
Play Ransomware-gjengens involvering
Play ransomware-gjengen tok på seg ansvaret for Krispy Kreme-datainnbruddet. De offentliggjorde angrepet tre uker etter at bruddet fant sted i slutten av november 2024. Gruppen truet med å offentliggjøre de stjålne dataene 21. desember 2024, men det er uklart om de gjorde det.
Krispy Kreme bekreftet at angrepet forstyrret forretningsdriften og netthandelssystemene. Selskapet opprettholdt imidlertid at alle 1400 fysiske butikker fortsatt var åpne og upåvirket.
Forsinket respons og kritikk
Søksmålet påpeker at Krispy Kreme forsinket varslingen til berørte personer i nesten seks måneder. Selv da manglet varslingsbrevene viktige detaljer om hendelsen.
En talsmann for selskapet uttalte at det ikke er kjent tilfeller av identitetstyveri eller svindel som følge av bruddet. Likevel mener det juridiske teamet at manglende databeskyttelse utsetter ofrene for livslang risiko.
Livslang risiko og skader
Krispy Kreme-datainnbruddet utsetter ofrene for potensielt identitetstyveri, svindel og trakassering. Gruppestyringen hevder at bruddet forårsaket:
- Inngripen i privatlivet
- Økte spam-anrop, e-poster og tekstmeldinger
- Tap av tid og kostnader for å forhindre ytterligere skade
Saken anklager Krispy Kreme for å ha handlet uforsvarlig og uaktsomt ved å unnlate å implementere tilstrekkelige cybersikkerhetstiltak.
Den pågående konsekvensen
Med over 160 000 berørte personer kan saken få vidtrekkende konsekvenser. Gruppestyringen søker erstatning og forbedringer i Krispy Kremes datasikkerhetspraksis.
Play ransomware-gruppens involvering understreker også den økende trusselen fra nettkriminelle som retter seg mot store selskaper. Ettersom ransomware-grupper utvikler seg, må virksomheter prioritere databeskyttelse for å unngå lignende brudd.
Konklusjon
Krispy Kreme-datainnbruddet tjener som en sterk påminnelse om viktigheten av cybersikkerhet. De eksponerte dataene påvirker ikke bare ansatte, men også deres familier og tidligere ansatte.
Etter hvert som gruppesøksmålet går videre, minner saken alle organisasjoner om at manglende beskyttelse av personopplysninger kan føre til rettslige skritt, omdømmeskade og varig skade for ofrene.
0 responses to “Krispy Kreme-datainnbrudd utløser gruppesøksmål over eksponerte ansattopplysninger”