Панера обвини изследователя по сигурността в „измама“ когато съобщи за голям недостатък

Панера обвини изследователя по сигурността вEnlargeGetty Images | RiverNorthPhotography

Преди осем месеца Panera Bread беше уведомена за пропуск в сигурността това изтичаше информация за клиентите на всеки, който знаеше къде потърсете го. Но компанията не успя да поправи недостатъка до тази седмица след нарушението беше оповестено публично в доклад, който предполага, че то засегна 37 милиона клиентски записи.

Panera Bread заяви тази седмица, че течът засегна по-малко от 10 000 потребители и това е фиксирано. Но репортер по сигурността Брайън Кребс и изследователят по сигурността, който уведоми Панера за нарушение миналата година оспори тази сметка. Казват, че милиони клиентските записи бяха достъпни онлайн и те останаха достъпна на публично достъпни URL адреси, след като Panera каза недостатъка беше фиксиран. Изглежда, че тези URL адреси най-накрая са изтрити от информация за клиента, тъй като сега те произвеждат съобщения за грешки вместо клиентски данни.

Записите “могат да бъдат индексирани и обхождани от автоматизирани инструменти с много малко усилия “, написа Кребс вчера включваше номера на картите за лоялност на клиентите на Panera, „които биха могли потенциално да бъдат злоупотребявани от измамници, за да харчат предплатени акаунти или в противен случай стойност на сифона от акаунти за лоялност на клиентите на Panera, “той пише.

Течащите данни включват също потребителски имена, име и фамилия, имейл адреси, телефонни номера, рождени дни, последните четири цифри на кредита номера на карти, домашни адреси, интеграция на социални акаунти информация и запазени хранителни предпочитания и диетични ограничения, според изследователя по сигурността Дилън Хохан.

Преди да бъдат свалени, URL адресите показваха клиентски данни в това формат:

EnlargeDylan Hohan

Според Хохан недостатъкът „позволява на всеки да търси чрез различни атрибути на клиенти, включително телефонен номер, имейл адрес, физически адрес или номер на акаунт за лоялност. “В примера по-горе, “телефонният номер беше основна линия в офис сграда, където много различни служители явно са се регистрирали да поръчват храна онлайн.”

Панера игнорира имейла, казвайки, че изглежда като измама

Хохан уведоми Панера за изтичането на данни на 2 август 2017 г., казва на компанията, че нейният уебсайт за доставка „излага чувствителни информация, принадлежаща на всеки клиент, регистрирал се за акаунт, за да поръчате Panera хляб онлайн. “Panera има повече от 2000 съхранява в цялата страна и годишни продажби от над 5 милиарда долара.

Хохан предложи да изпрати на Панера повече подробности относно недостатъка в криптиран формат, ако компанията има желание да предостави PGP ключ. Хохан също предложи да изпрати информацията чрез незашифрован имейл или обсъдете го в телефонен разговор.

В отговор директорът на информационната сигурност на Panera Майк Според Густависън обвини Хохан, че се е опитал да измами компанията до скрийншоти на имейли, публикувани от Хохан в публикацията му в блога вчера.

Ето отговора на Густависън:

Моят екип получи вашите имейли, но беше много подозрителен и изглежда измама в природата, поради което беше игнориран. Ако това са продажби тактика Силно бих препоръчал по-добър подход като изискващ а PGP ключът не би бил добър начин да започнете. Като ценна книга професионален, трябва да сте наясно, че всяка организация, която има практиката за сигурност никога няма да отговори на заявка като тази, която вие изпратил. Готов съм да обсъдим какви уязвимости вярвате намерихте, но няма да бъда измамен, поискан реституция / печалба или слушайте стъпки на продажбите.

Екранните снимки на имейли не показват Hohan да се опитва да продава каквото и да било – той уведомяваше частно Панера за недостатък, който изтичаше данните на много клиенти, включително и на неговите собствени. Като ценна книга професионалист, Хохан отбеляза, че няма да започне а разговор за потенциален недостатък на сигурността “от битието антагонистична. ”

В крайна сметка Густависън предостави PGP ключ, а Хохан изпрати подробна информация в криптирано съобщение. Хохан изпрати няколко последващи имейли без получаване на отговор, но след това получиха а отговор от Gustavison на 9 август, казвайки, че компанията е “работи върху резолюция.”

“[A] ако се уверих, че това ще бъде поправено, проверих това уязвимост всеки месец или около това, защото моите собствени данни са там, което означава, че аз лично съм засегнат от него “, написа Хохан.” Така и аз лично знам за факт, че никога не е бил закърпен в временен. И дори да беше, това щеше да се оправи и по невнимание отново въведеното е почти толкова лошо, колкото да не го поправите всичко. Но се сдържах да правя каквото и да било, решавайки да ги пусна продължите. Минават осем месеца. ”

„Panera поема сериозно сигурността на данните“

Разочарован от липсата на поправка, Хохан най-накрая посегна към Кребс и експертът по сигурността Троя Хънт. Статия, публикувана от Кребс вчера подтикна Panera да предприеме действия, поне за обществеността отношения отпред.

„Panera приема сериозно сигурността на данните и този проблем е решен, “каза главният информационен директор на Panera Bread Джон Майстър Фокс в тази статия вчера.

Панера каза, че няма данни за информация за разплащателни карти е изтекла и че “[о] ур разследването към днешна дата показва това по-малко от 10 000 потребители са били потенциално засегнати от това проблем.”

Кребс оспорва опита на Панера да омаловажи историята последно нощта. В актуализация на статията си той написа, че Панера „основно „отстранен“ проблемът, като се изисква от хората да влязат във валиден потребител акаунт в panerabread.com, за да видите открития клиент записи (за разлика от пускането само на всеки с правилната връзка достъп до записите). ”

“Panera приема сигурността на данните много сериозно” – Bull. По дяволите.

Това е вид регулаторите на инциденти, които трябва да хвърлят книгата в. Едно е да имаш уязвимост, но е съвсем друго да го игнорираш и да твърдиш, че го приемаш насериозно. https://t.co/1FRWE3tndP

– Хънт на Троя (@troyhunt) 2 април 2018 г.

Кребс туитира и връзки, които според него показват нарушението засегна 37 милиона клиентски записи.

Предоставените от Krebs връзки водят до съобщения за грешки.

„Не съм запознат с нито един от недостатъците, които видях още вчера съществуващи на сайта “, заяви Кребс пред Ars днес.

Кребс каза, че собственото му тестване „изглежда показва посочените от мен проблеми повдигнати вече не са проблеми. “Но той добави, че” само Панера може наистина ви казвам дали са го поправили. ”

Ars изпрати имейл на отдела за връзки с обществеността на Panera и Gustavison, и ние ще актуализираме тази история, ако получим повече информация. Освен всичко друго, попитахме Панера как го определя че бяха засегнати по-малко от 10 000 потребители.

Хохан беше разочарован от отговора на Панера на провала в сигурността и опитът на компанията да омаловажи сериозността на недостатъка изявления.

„Докато не започнем да държим компаниите по-отговорни за своите публични изявления по отношение на сигурността, ще продължим да виждаме изявления, отхвърлящи пренебрежително безразличие към PR, говорят: „Хохан пише. “По думите на Troy Hunt, когато Panera Bread казва:” Ние приемаме сигурността “, те означават:„ Ние не го взехме насериозно достатъчно.'”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: