В начале текущей недели один из ветеранов инфосек-журналистики, знаменитый своими расследованиями и разоблачениями, Брайан Кребс, опубликовал в своем блоге статью, посвященную проблемам популярной на Западе сети кафе Panera Bread.

Кребс рассказал, что еще в августе 2017 года ИБ-эксперт Дилан Хулихан (Dylan Houlihan) обнаружил на сайте Panera Bread (panerabread.com) данные пользователей, которые были доступны любому желающему в открытом виде.

Компания, которой принадлежат более 2100 заведений на территории США и Канады, не сумела должным образом обезопасить panerabread.com, — сайт, через который можно было заказывать еду  с доставкой. Хулихан обнаружил, что может без труда узнать имена пользователей, их email-адреса и адреса доставки, даты рождения, телефонные номера, последние четыре цифры из номеров банковских карт, а также номера карт лояльности. Хуже того, собрать полную базу данных можно было посредством простейшей автоматизации, задействовав краулера.

Утечка данных во всей красе

Однако когда Хулихан уведомил Panera Bread о проблеме, сначала ему сообщили, что он похож скамера. Лишь после долгой переписки представители компании приняли информацию Хулихана к рассмотрению и пообещали устранить утечку информации.

Исследователю сообщили, что его сообщение похоже на скам

К сожалению, спустя восемь месяцев проблема так и не была решена. До публикации статьи Брайана Кребса сайт Panera Bread по-прежнему разглашал информацию пользователей, и лишь после выхода материала был спешно уведен в оффлайн. Вместе с этим представители Panera Bread поспешили дать комментарий Fox News, в котором попытались сбавить градус паники и сообщили, что потенциально могли пострадать не более 10 000 пользователей, и проблема уже была устранена.

В ответ на это Брайн Кребс и Дилан Хулихан опубликовали опровержения, сообщив, что по их подсчетам, утечка информации компрометирует не менее 37 млн человек. Хотя изначально специалисты считали, что проблема угрожает 7 млн пользователей, позже выяснилось, что все обстоит даже хуже.

Также эксперты отметили, что проблема, вероятнее всего, все еще не решена до конца, после чего сайт panerabread.com ушел в оффлайн и не работает до сих пор. Хулихан, Кребс и другие известные ИБ-специалисты выступили с критикой действий руководства Panera Bread, заявив, что компания действует в разрез с собственными заявлениями и лукавит, когда говорит, что «Panera Bread относится к безопасности очень серьезно».



2 комментария

  1. AgentJordan

    05.04.2018 at 10:25

    Такое бывает, когда глава (Mike Gustavison) мнит о себе многое. Дополнительно в этом можно убедиться посмотрев https://www.youtube.com/watch?v=scdh2gx0XoQ где наш Мишаня рассказывает о «best security practices» применяемых в его пекарне. Также Миша работал в Equifax до 2013: https://twitter.com/briankrebs/status/980954675318022144
    LUL

  2. clicker314

    05.04.2018 at 11:03

    эта статья не полная без ссылки на дамп данных

Оставить мнение