En stor Krispy Kreme-dataintrång har utlöst en gruppstämning efter att känslig information om anställda exponerats. Cyberattacken i november 2024 påverkade över 160 000 nuvarande och tidigare anställda.
Dataintrånget och rättsliga åtgärder
Advokater lämnade in förslaget till gruppstämning vid North Carolinas västra distriktsdomstol den 21 juni 2025.
Stämningen följer på de meddelanden om dataintrånget som Krispy Kreme skickade till de drabbade.
Lily Peace, en tidigare anställd från North Dakota, leder gruppstämningen mot donut-kedjan.
Fallet anklagar Krispy Kreme för att ha misslyckats med att skydda anställdas data och lämnat den okrypterad.
En domare har godkänt advokatteamets fortsatta arbete med stämningen.
Oskyddad data exponerad
Krispy Kreme-dataintrånget avslöjade en mängd känslig information:
- Namn, adresser och e-postadresser
- Personnummer och födelsedatum
- Körkort, statliga ID:n, militär-ID:n och passnummer
- Alien-registreringsnummer
- Finansiella konton, användarnamn, lösenord och säkerhetskoder för kort
- Digitala signaturer och biometrisk data
- Skyddad hälsoinformation (PHI) inklusive medicinska och försäkringsuppgifter
Stämningen påpekar att Krispy Kreme inte krypterade eller maskerade någon av denna mycket känsliga data.
Play Ransomware-gängs inblandning
Ransomware-gänget Play tog på sig ansvaret för Krispy Kreme-dataintrånget.
De offentliggjorde attacken tre veckor efter att intrånget ägde rum i slutet av november 2024.
Gänget hotade med att släppa den stulna datan den 21 december 2024, men det är oklart om de gjorde det.
Krispy Kreme bekräftade att attacken störde verksamheten och onlinebeställningssystemen.
Företaget försäkrade dock att tjänster i butikerna på samtliga 1 400 platser fungerade som vanligt.
Försenat svar och kritik
Stämningen framhåller att Krispy Kreme dröjde nästan sex månader med att informera de drabbade.
Även då saknades viktiga detaljer i meddelandena om dataintrånget.
En talesperson för företaget uppgav att det inte finns några kända fall av identitetsstöld eller bedrägeri kopplade till intrånget.
Advokatteamet hävdar dock att bristen på skydd innebär livslång risk för offren.
Livslånga risker och skador
Krispy Kreme-dataintrånget utsätter offren för risk för identitetsstöld, bedrägeri och trakasserier.
Gruppstämningen hävdar att intrånget orsakat:
- Integritetskränkning
- Ökat antal spam-samtal, e-post och SMS
- Förlorad tid och kostnader för att förebygga ytterligare skada
Fallet anklagar Krispy Kreme för vårdslöshet och bristande säkerhetsåtgärder.
Den pågående effekten
Med över 160 000 drabbade kan fallet få långtgående konsekvenser.
Gruppstämningen kräver ersättning och förbättringar av Krispy Kremes datasäkerhet.
Play-gängets inblandning understryker också den växande hotbilden från cyberbrottslingar mot stora företag.
När ransomware-gäng utvecklas måste företag prioritera dataskydd för att undvika liknande intrång.
Slutsats
Krispy Kreme-dataintrånget är en tydlig påminnelse om vikten av cybersäkerhet.
Den exponerade datan påverkar inte bara anställda utan även deras familjer och tidigare personal.
När gruppstämningen fortskrider blir det tydligt för organisationer världen över:
Underlåtenhet att skydda personlig data kan leda till rättsliga åtgärder, förlorat anseende och långvarig skada för offren.
0 svar till ”Krispy Kreme-dataintrång utlöser gruppstämning över exponerad anställdinformation”