PaneraBread.com слил в Интернет миллионы хлебных крошек с личными данными клиентов


Panera Bread знает, как приготовить вкусный бутерброд, и это то, что мы можем сказать конфиденциально (итальянский — любимый пункт меню этого редактора). К сожалению, с безопасностью может быть не так хорошо . Исследователь безопасности Брайан Кребс из KrebsOnSecurity говорит, что с веб-сайта Panera Bread произошла утечка миллионов записей о клиентах, содержащих множество личной информации, причем данные были доступны в виде простого текста. Ой!

Нарушение безопасности скомпрометировало записи клиентов, содержащие имена, адреса электронной почты, физические адреса, дни рождения и последние четыре цифры номеров кредитных карт. Это тот вид информации, который может немного облегчить выявление кражи, хотя, к счастью, ни один номер социального страхования не был скомпрометирован (в первую очередь для Panera Bread было бы глупо собирать такую ​​информацию).

Панера Хлеб
Источник: KrebsOnSecurity
Panera Bread имеет более 2100 торговых точек в США. Сеть продуктов питания позволяет клиентам заказывать товары онлайн на своем веб-сайте для получения в одном из своих магазинов или для доставки. Это все прекрасно и денди, но хранить информацию в виде простого текста — это главное нет-нет.

Нарушение было впервые обнаружено Диланом Хулиханом, исследователем безопасности, который уведомил Panera Bread об утечке данных клиентов восемь месяцев назад. Майк Густависон, директор по информационной безопасности Panera, сначала подумал, что это мошенничество, и проигнорировал эту информацию. Однако неделю спустя информация была подтверждена, что побудило Panera Bread поработать над исправлением.

«Panera Bread использует последовательные целые числа для идентификаторов учетных записей, а это означает, что если ваша цель — собрать как можно больше информации, а не о ком-то, вы можете просто увеличивать количество учетных записей и собирать столько, сколько хотите, вплоть до всю базу данных», — сказал Дилан Хулихан KrebsOnSecurity.

Еще хуже то, что записи могут быть относительно легко проиндексированы и просканированы автоматическими инструментами. И хотя Panera Bread знала об этой проблеме с августа прошлого года, «недостаток никогда не исчезал», — сказал Хулихан, добавив, что «проверял его каждый месяц или около того, потому что был зол».

Веб-сайт Panera Bread вчера был ненадолго отключен после того, как KrebsOnSecurity связалась с ним. Похоже, что его записи о клиентах больше не доступны. Тем не менее, если вы зарегистрировались и совершили покупку на веб-сайте Panera Bread, следите за выписками по кредитной карте на предмет нечестной игры.

Источник эскиза и верхнего изображения: Flickr через Майка Моцарта

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал