Hackere brukt malware å stjele kundens betaling av data fra de fleste av Chipotle Mexican Grill Inc restauranter over en periode på tre uker, selskapet sa på fredag, og legger til woes på kjeden som salg hadde nettopp begynt å utvinne fra en streng av matsikkerhet utløper i 2015.
Chipotle sa det visste ikke hvor mange betalingskort eller kunder ble berørt av bruddet som rammet de fleste av sine lag 2,250 restauranter for varierende mengder tid mellom 24. Mars og April 18, talsmann Chris Arnold sa via e-post.
En håndfull av Kanadiske restauranter ble også truffet i brudd, som selskapet første gang offentliggjort i April 25.
Stjålet data inkludert kontonummer og interne bekreftelseskoder. Den malware har siden blitt fjernet.
Informasjonen kan brukes til å renne debetkort knyttet bank kontoer, gjøre “klone” kredittkort, eller til å kjøpe varer på visse mindre-secure online nettsteder, sa Paul Stephens, leder for politikk og forsvar på non-profit Personvernet Clearinghouse.
Brudd kan igjen truer med salg på sine restauranter, som bare nylig kommet etter å ha falt kraftig i slutten av 2015 etter Chipotle var knyttet til utbrudd av E. coli, salmonella og norovirus som syk hundrevis av mennesker.
En undersøkelse av de brudd som er funnet malware søkte etter data fra magnetstripen av betalingskort.
Arnold sa Chipotle ikke kunne varsle kunder direkte som det gjorde ikke samle inn deres navn og e-post adresser på tidspunktet for kjøpet.
Selskapet postet meldinger på Chipotle og Pizzeria Nasjonale innstillinger nettsider og sendt ut en pressemelding for å gjøre kundene oppmerksomme på hendelsen.
Linn Lausingen, en advokat på Robinson & Cole LLP spesialiserer seg på data brudd svar, sa Chipotle var å sette byrden på forbrukeren til å oppdage mulige ulovlige transaksjoner ved å informere dem via nettsteder.
“Jeg tror ikke du vil få til alle kunder som kanskje har blitt påvirket,” sa hun.
Sikkerhet analytikere sa Chipotle ville mest sannsynlig står overfor en fin basert på størrelsen av brudd og antall poster kompromittert.
“Hvis dine data ble stjålet gjennom et datainnbrudd som betyr at du var et sted ut av samsvar” med betaling industry data security standards, Julie Conroy, forskningsleder ved Aite Gruppe, et forsknings-og rådgivende firma.
“I dette tilfellet, kortselskapene blir fint Chipotle og også holde dem ansvarlig for eventuelle misligheter at resultatene direkte fra deres brudd,” sier Avivah Litan, vice president i Gartner, Inc. som spesialiserer seg på sikkerhet og personvern.
Chipotle ikke umiddelbart kommentar på utsiktene til en bot.
Forhandler Target Corp i 2017 gått med på å betale $18.5 millioner for å innfri krav som stammer fra en massiv data brudd i slutten av 2013.
Hoteller og restauranter har også blitt rammet. De inkluderer Trump Hotels, InterContinental Hotels Group samt Wendy ‘s, Arby’ s og Landry restauranter.
Aksjer i Chipotle Mexican Grill endte marginalt lavere på $480.15 på fredag etter kunngjøringen.
© Thomson Reuters 2017