真のセキュリティなどというものは存在しないということを毎日思い出してください。
パネラブレッド、のセントルイスに拠点を置く人気のベーカリー チェーンである同社は、顧客データの保護をいかに無関心であるかを示した最新の企業です。
この食品チェーンのウェブサイトでは、顧客の個人データが完全に公開され、誰でも情報を入手できる状態になっていたと伝えられています。
「名前、メールアドレス、住所、誕生日、顧客のクレジットカード番号の下4桁」を含むデータがオンラインに流出によるとこのニュースの宣伝に協力したサイバーセキュリティ専門家のブライアン・クレブス氏に。
セキュリティ専門家ディラン・フーリハン最初に発見されたPanera Bread の Web サイトは、2017 年 8 月に、顧客データ (彼自身のデータを含む) を読みやすいプレーンテキストで漏洩していました。
マッシュ可能な光の速度
詐欺師である、または報奨金に興味があると主張する一連の電子メールと虚偽の告発の後、パネラブレッドの情報セキュリティディレクターであるマイク・グスタヴィソン氏が最終的に返答し、解決に取り組んでいると述べた。
8 か月が経ちますが、フーリハンはセキュリティ ホールが修正されているかどうかを毎月チェックしていますが、何も起こりません。フーリハン氏は十分だと判断し、クレブス氏に欠陥を公表させてパネラブレッド社に修正を急ぐよう強制する。
数百万人のユーザーのデータが流出した可能性があるとみられている。しかし、パネラブレッド社はデータ漏洩の深刻さを軽視しており、伝えるフォックスニュースは「暴露された顧客記録はわずか1万件だった」としている。
その後、Panera Bread はセキュリティ上の欠陥を修正したと発表しましたが、クレブス氏は実際にはパッチが適用されていないことを発見しました。
ほぼ瞬時に、複数のソース、特に@holdsecurity— Panera は、公開された顧客記録を閲覧するために panerabread.com で有効なユーザー アカウントにログインすることを要求することで、問題を基本的に「修正」したと指摘しました (適切なリンクを持つ人だけが記録にアクセスできるようにするのではなく) 。
@onsecurity は現在、最大 3,700 万件の顧客レコードが影響を受けた可能性があると考えています。
この記事の公開時点では、Panera Bread の Web サイトはダウンしたままです。
Panera Bread のウェブサイトはまだダウンしています。 クレジット: スクリーンショット: マッシュ可能
私たちはパネラブレッド社に、フーリハン氏の警告を無視し、8か月間も欠陥を修正しなかった理由についてコメントを求めた。返答があれば、この記事を更新します。