Panera menuduh penyelidik keselamatan "penipuan" apabila dia melaporkan kecacatan besar

Lapan bulan yang lalu, Panera Bread diberitahu tentang kecacatan keselamatan yang membocorkan maklumat pelanggan kepada sesiapa yang tahu di mana hendak mencarinya. Tetapi syarikat itu gagal membetulkan cacat itu sehingga minggu ini selepas pelanggaran itu dibuat awam dalam satu laporan yang menunjukkan bahawa ia menjejaskan 37 juta rekod pelanggan.

Panera Bread berkata minggu ini bahawa kebocoran itu terjejas kurang daripada 10,000 pengguna dan ia telah ditetapkan. Tetapi wartawan keselamatan Brian Krebs dan penyelidik keselamatan yang memberitahu Panera mengenai pelanggaran tahun lalu mempertikaikan akaun itu. Mereka mengatakan bahawa berjuta-juta rekod pelanggan boleh didapati dalam talian dan bahawa mereka masih boleh didapati di URL awam boleh diakses selepas Panera mengatakan cacat itu telah ditetapkan. URL tersebut nampaknya telah dibersihkan dari maklumat pelanggan, kerana sekarang mereka menghasilkan mesej ralat bukan data pelanggan.

Rekod "boleh diindeks dan dirangkak oleh alat automatik dengan sedikit usaha," kata Krebs semalam. Data yang terbuang termasuk nombor kad kesetiaan pelanggan Panera, "yang berpotensi disalahgunakan oleh penipu untuk membelanjakan akaun prabayar atau sebaliknya menghalang nilai dari akaun kesetiaan pelanggan Panera," tulisnya.

Data yang dilanda juga termasuk nama pengguna, nama pertama dan terakhir, alamat e-mel, nombor telefon, hari lahir, empat angka terakhir nombor kad kredit, alamat rumah, maklumat integrasi akaun sosial dan pilihan makanan yang tersimpan serta sekatan makanan, kata penyelidik keselamatan Dylan Houlihan .

Sebelum diambil, URL menunjukkan data pelanggan dalam format ini:

Menurut Houlihan, cacat itu "biarkan orang mencari oleh pelbagai atribut pelanggan, termasuk nombor telefon, alamat e-mel, alamat fisik, atau nombor akaun kesetiaan." Dalam contoh di atas, "nombor telefon adalah saluran utama di bangunan pejabat di mana banyak pekerja yang berbeza ternyata mendaftar untuk memesan makanan dalam talian."

Panera tidak mengendahkan e-mel, mengatakan ia kelihatan seperti penipuan

Houlihan diberitahu Panera mengenai kebocoran data pada 2 Ogos 2017, memberitahu syarikat bahawa laman web penyampaiannya "memperlihatkan maklumat sensitif milik setiap pelanggan yang telah mendaftar untuk akaun untuk memesan dalam talian Panera Roti." Panera mempunyai lebih daripada 2,000 kedai di seluruh negara dan jualan tahunan lebih daripada $ 5 bilion.

Houlihan menawarkan untuk menghantar maklumat lebih lanjut mengenai kecacatan Panera dalam format yang disulitkan jika syarikat bersedia memberikan kunci PGP. Houlihan juga menawarkan untuk menghantar maklumat melalui e-mel yang tidak diskriptik atau membincangkannya dalam panggilan telefon.

Sebagai tindak balas, Pengarah Keselamatan Maklumat Panera, Mike Gustavison menuduh Houlihan cuba menipu syarikat itu, mengikut screenshot e-mel yang diterbitkan oleh Houlihan dalam catatan blognya semalam.

Inilah respons Gustavison:

Pasukan saya menerima e-mel anda tetapi ia sangat mencurigakan dan muncul penipuan di alam ini oleh itu tidak diendahkan. Sekiranya ini adalah taktik jualan saya akan mengesyorkan pendekatan yang lebih baik seperti menuntut kunci PGP tidak akan menjadi cara yang baik untuk bermula. Sebagai seorang profesional keselamatan, anda harus sedar bahawa mana-mana organisasi yang mempunyai amalan keselamatan tidak akan bertindak balas terhadap permintaan seperti yang anda hantar. Saya bersedia untuk membincangkan apa jua kerentanan yang anda percayai yang anda temui tetapi saya tidak akan ditipu, menuntut restitusi / karunia, atau mendengar padang jualan.

Gambar e-mel tidak menunjukkan Houlihan cuba menjual apa-apa-dia secara peribadi memberitahu Panera tentang kecacatan yang membocorkan data ramai pelanggan, termasuk sendiri. Sebagai seorang pengamal keselamatan sendiri, Houlihan menyatakan bahawa dia tidak akan memulakan perbualan mengenai kecacatan keselamatan yang potensial "dengan menjadi antagonis."

Gustavison akhirnya memberikan kunci PGP dan Houlihan menghantar maklumat terperinci dalam mesej yang disulitkan. Houlihan menghantar beberapa e-mel susulan tanpa mendapat jawapan tetapi kemudian menerima jawapan daripada Gustavison pada 9 Ogos yang mengatakan bahawa syarikat itu "bekerja pada resolusi."

"[Saya] yakin bahawa ini akan diperbaiki, saya memeriksa kelemahan ini setiap bulan atau lebih kerana data saya sendiri ada di sana, yang bermaksud saya terjejas olehnya," tulis Houlihan. "Oleh itu, saya secara peribadi mengetahui hakikat bahawa ia tidak pernah ditampal secara sementara dan walaupun jika ia, ia akan diperbetulkan dan secara tidak sengaja diperkenalkan semula hampir sama buruknya kerana tidak menetapkannya sama sekali.Tetapi saya tidak melakukan apa-apa, memutuskan untuk membiarkan mereka meneruskan. Lapan bulan pergi. "

"Panera mengambil keselamatan data dengan sangat serius"

Frustrated oleh kekurangan penetapan, Houlihan akhirnya menjangkau Krebs dan pakar keselamatan Troy Hunt. Satu artikel yang diterbitkan oleh Krebs semalam memacu Panera untuk mengambil tindakan, sekurang-kurangnya di hadapan perhubungan awam.

"Panera mengambil keamanan data dengan sangat serius, dan masalah ini telah diselesaikan," kata Panzer Ketua Panera Informasi John Meister kepada Fox dalam artikel ini kemarin.

Panera berkata tidak ada bukti mengenai maklumat kad pembayaran yang dibocorkan dan bahawa "[o] penyiasatan setakat ini menunjukkan bahawa kurang daripada 10,000 pengguna telah berpotensi dipengaruhi oleh isu ini."

Krebs mempertikaikan percubaan Panera untuk merendahkan cerita malam tadi. Dalam kemas kini pada artikelnya, beliau menulis bahawa Panera "pada dasarnya 'membetulkan' masalah itu dengan mengharuskan orang untuk log masuk ke akun pengguna yang sah di panerabread.com untuk melihat rekaman pelanggan terdedah (yang bertentangan dengan membiarkan hanya orang dengan akses kanan mengakses rekod). "

"Panera mengambil keselamatan data dengan sangat serius" - Bull. Shit.

Ini adalah jenis pengawal selia kejadian perlu membuang buku di. Ia satu perkara yang mempunyai kelemahan, tetapi ia adalah satu lagi untuk mengabaikannya dan tuntut anda mengambilnya dengan serius. //t.co/1FRWE3tndP

- Troy Hunt (@troyhunt) 2 April 2018

Krebs juga menyiarkan pautan itu, katanya, menunjukkan pelanggaran yang terkena 37 juta rekod pelanggan.

Pautan yang disediakan oleh Krebs kini mengakibatkan mesej ralat.

"Saya tidak tahu apa-apa kelemahan yang saya lihat hari ini masih ada di laman web ini," kata Krebs kepada Ars hari ini.

Krebs berkata ujiannya sendiri "nampaknya menunjukkan isu-isu yang saya bangkitkan tidak lagi menjadi masalah." Tetapi dia menambah bahawa "hanya Panera benar-benar boleh memberitahu anda jika mereka telah menetapkannya."

Ars telah menghantar e-mel kepada jabatan perhubungan awam Panera dan Gustavison, dan kami akan mengemas kini kisah ini jika kami menerima lebih banyak maklumat. Antara lain, kami meminta Panera bagaimana ia menentukan bahawa kurang daripada 10,000 pengguna telah terjejas.

Houlihan kecewa dengan tindak balas Panera terhadap kecacatan keselamatan dan percubaan syarikat untuk mengurangkan kecenderungan kepincangan dalam kenyataan awam.

"Sehingga kita mula memegang syarikat-syarikat yang lebih bertanggungjawab untuk penyata awam mereka berkenaan dengan keselamatan, kita akan terus melihat kenyataan yang mengabaikan sikap acuh tak acuh yang mengabaikan dengan berbicara PR," tulis Houlihan. "Dalam kata-kata Troy Hunt, apabila Panera Bread berkata, 'Kami mengambil serius keselamatan', mereka bermaksud, 'Kami tidak cukup serius.'"

Tonton video itu: PENIPUAN Telkomsel dikerjain sama karyawan Telkomsel asli. Personal Experience (Januari 2020).