Панера је оптужио истраживача за безбједност о “преварама” када је пријавио велики недостатак

Пре осам месеци, Панера Бреад је обавештен о сигурносном пропусту који цури информације о купцима свима који су знали где да га потраже. Али компанија није успела да поправи грешку све до ове недеље након што је кршење објављено у извештају који сугерише да је то утицало на 37 милиона записа клијената.

Панера Бреад је ове седмице изјавила да је цурење утицало на мање од 10.000 потрошача и да је то поправљено. Међутим, Бриан Кребс и сигурносни истраживач који су прошле године обавијестили Панеру о том кршењу, оспорили су тај рачун. Они кажу да су милиони записа о клијентима били доступни на интернету и да су остали доступни на јавно доступним УРЛ-овима након што је Панера рекао да је грешка поправљена. Чини се да су ти УРЛ-ови коначно обрисани од информација о клијентима, јер сада производе поруке о грешкама уместо података о клијентима.

Записи "могли би бити индексирани и индексирани аутоматским алатима са врло мало труда", написао је Кребс јуче. Подаци који су процурили су укључивали бројеве лојалних картица корисника Панера, "који би потенцијално могли бити злоупотријебљени од стране превараната како би потрошили препаид рачуне или на други начин сифонирали вриједност од Панера корисничких рачуна за лојалност", написао је он.

Подаци који су процурили укључују и корисничка имена, имена и презимена, адресе е-поште, бројеве телефона, рођендане, последње четири цифре бројева кредитних картица, кућне адресе, информације о интеграцији друштвених рачуна и сачуване преференције у храни и ограничења у исхрани, према истраживачу за безбедност Дилан Хоулихан .

Пре уклањања, УРЛ-ови су приказали податке о клијенту у овом формату:

Према Хоулихан, недостатак "нека сватко тражи по различитим атрибутима купца, укључујући број телефона, е-маил адресу, физичку адресу, или број рачуна вјерности." У горњем примјеру, "телефонски број је био главна линија у пословној згради гдје су се многи запосленици очигледно регистрирали како би наручили храну на интернету."

Панера је игнорисала е-пошту, рекавши да изгледа као муљажа

Хоулихан је обавијестио Панеру о цурењу података 2. августа 2017. године, рекавши компанији да је њен сајт за испоруку "изложио осјетљиве информације које припадају сваком клијенту који се пријавио за рачун да би наручио Панера Бреад онлине". Панера има више од 2.000 продавница широм земље и годишње продаје више од 5 милијарди долара.

Хоулихан је понудио да Панери пошаље више детаља о грешци у шифрованом формату ако је компанија спремна да пружи ПГП кључ. Хоулихан је такође понудио да пошаље информације путем нешифроване е-поште или да о томе разговара у телефонском позиву.

Као одговор, директор Панера за информацијску сигурност Мике Густависон оптужио је Хоулихана да покушава преварити компанију, према снимцима екрана е-порука које је Хоулихан објавио у свом блогу јучер.

Ево Густависоновог одговора:

Мој тим је примио ваше е-маилове, али је био врло сумњичав, па се појавила муљажа у природи. Ако је ово продајна тактика, ја бих препоручио бољи приступ, јер тражење ПГП кључа не би био добар начин за почетак. Као професионалац у области безбедности, морате бити свесни да свака организација која има безбедносну праксу никада неће одговорити на захтев као што је онај који сте послали. Спреман сам да разговарам о свим слабостима за које верујете да сте их пронашли, али ја нећу бити преварен, тражен за реституцију / награду или слушање продаје.

Е-маил сцреенсхотови не показују да Хоулихан покушава продати било шта - приватно је обавијестио Панеру о манама које су процуриле податке многих клијената, укључујући и његове. Као сам професионалац за безбедност, Хоулихан је истакао да неће започети разговор о потенцијалном сигурносном пропусту "тако што ће бити антагонистички".

Густависон је на крају дао ПГП кључ, а Хоулихан је послао детаљне информације у шифровану поруку. Хоулихан је послао неколико е-порука без одговора, али је добио одговор од Густависон-а 9. августа, рекавши да компанија "ради на резолуцији".

"Када сам био сигуран да ће то бити поправљено, проверио сам ову рањивост сваког месеца, зато што су моји подаци тамо, што значи да сам лично погођен", написао је Хоулихан. "Дакле, ја лично знам за чињеницу да никада није био закрпан у међувремену. А чак и да је, да ће бити фиксиран и нехотице поново уведен, готово је једнако лоше као да га уопће не поправља. Одлучили су да их пусте да наставе.

"Панера озбиљно схвата сигурност података"

Фрустриран недостатком решења, Хоулихан је напокон стигао до Кребса и стручњака за сигурност Трои Хунта. Један чланак који је Кребс објавио јуче, подстакао је Панеру да предузме мере, бар на фронту за односе са јавношћу.

"Панера узима сигурност података врло озбиљно, и ово питање је ријешено", рекао је јучер Фоку шеф за информисање Јохн Меистер.

Панера је рекао да нема доказа да су информације о платним картицама процуреле и да "истрага до сада показује да је мање од 10.000 потрошача потенцијално погођено овим питањем."

Кребс је оспорио Панерин покушај да синоћ умањи причу. У свом новом чланку, написао је да је Панера "у суштини" поправио "проблем тако што је од људи тражио да се пријаве на важећи кориснички налог на панерабреад.цом како би прегледали забележене евиденције клијената (за разлику од пуштања било кога са десна веза приступа записима). "

"Панера озбиљно схвата сигурност података" - Булл. Срање.

Ово је врста регулатора инцидента који треба да баци књигу. Једна је ствар имати рањивост, али сасвим друго је игнорисати и тврдите да то схватате озбиљно. //т.цо/1ФРВЕ3тндП

- Трои Хунт (@троихунт) 2. април 2018

Кребс је такође објавио линкове који су, каже он, показали да је кршење утицало на 37 милиона записа клијената.

Везе које је обезбедио Кребс сада дају поруке о грешкама.

"Не знам ни за какве недостатке које сам јучер видио да још постоје на локацији", рекао је Кребс Арсу данас.

Кребс је рекао да његово тестирање "изгледа да указује на питања која сам покренуо, више нису питања". Али додао је да "само Панера може да вам каже ако су је поправили."

Арс је послао е-маил Панера одељењу за односе с јавношћу и Густависону, и ми ћемо ажурирати ову причу ако добијемо више информација. Између осталог, питали смо Панеру како је утврђено да је погођено мање од 10.000 потрошача.

Хоулихан је био разочаран Панера-иним одговором на сигурносни пропуст и покушај компаније да умањи озбиљност грешке у јавним изјавама.

"Док не почнемо да држимо компаније одговорнијим за њихове јавне изјаве у погледу безбедности, ми ћемо наставити да видимо изјаве које указују на одбацујућу равнодушност према ПР-у", написао је Хоулихан. "По речима Трои Хунта, када Панера Бреад каже:" Ми озбиљно схватамо безбедност ", то значи," Нисмо то схватили довољно озбиљно. "