新闻快讯
< >

美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月

 美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月 -E安全

网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网站panerabread[.]com泄露了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字。

KrebsOnSecurity还表示,在他们与该公司取得联系后,该网站已在周一早些时候离线。而截止到这个时间,这起数据泄露事件至少已经持续了长达八个月的时间。

Panerabread网站以明文形式泄露顾客记录

根据相关资料显示,从成立到现在,总部位于美国圣路易斯的Panerabread已经经营了超过30年的时间。其在美国和加拿大拥有超过2100家分店,其中自营店和加盟店各占一半左右,每年的销售额都达到了数十亿美元。

Panerabread允许顾客可以通过panerabread[.]com进行注册来在线订购食品,以此来拓宽销售渠道。顾客在通过网站下单后,可以选择让Panerabread店员进行配送或者自己去商店取货。

而问题就出在这里,安全研究员Dylan Houlihan发现,来自Panerabread网站的纯文本数据似乎包含了所有注册顾客的详细个人资料。

 美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月 -E安全

安全研究人员已在去年8月通知了该公司

KrebsOnSecurity在周一与Houlihan取得联系后了解到了这一事件。另据Houlihan的说法,他早在2017年8月2日就已经将一发现通知了Panerabread公司。

Houlihan向KrebsOnSecurity展示了一张包含他和Panerabread公司信息安全主管Mike Gustavison的往来电子邮件截图。根据截图显示的信息来看,Gustavison最初曾怀疑Houlihan的报告可能是一个骗局。然而,截图后半部分显示的信息表明,该公司仅在一周后就验证了Houlihan的调查结果,并表示正在进行修复。

 美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月 -E安全

在本周一早些时候,也就是在Houlihan首次报告问题之后的八个月,Houlihan最新分享的数据表明,该网站仍以在明文形式泄露顾客记录。更糟糕的是,这些记录可以通过自动化工具来进行搜索和抓取,而这样的操作并不复杂。

Houlihan解释说,某些顾客记录包含唯一标识符。只要有新记录,这个标识符就都会增加一个,这使得任何人都可以很容易地搜索出所有可用的顾客账户。另外,数据库的格式也允许任何人通过各种数据点(包括电话号码)搜索对应的顾客账户,然后查看到相关联的所有信息。

数据泄露持续了8个月时间仍未彻底解决

当被问及到在2017年8月进行通报后直到现在以来,是否看到有任何迹象表明Panerabread曾试图解决这个问题时,Houlihan表示“从来没有”。

Houlihan说:“没有,这个问题永远不会消失。我每个月都会检查一次,因为我很生气。”

在KrebsOnSecurity 于本周一通过电话与PaneraPanerabread的首席信息官John Meister进行短暂的谈话后不久,该公司就已经将该网站离线。虽然网站在不久之后便进行了重新联机,但上面引用的数据已经不再能够被访问了。

 美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月 -E安全

值得指出的是,在这些记录中暴露的另一个数据点包括顾客的Panera会员卡号码,某些信誉度高的会员卡号码可能会被网络犯罪分子滥用以透支购买食品,或以其他方式通过从这些账户中获取价值。

至少有700万Panerabread顾客记录遭泄露

KrebsOnSecurity表示,目前尚不清楚该公司的网站到底暴露了多少顾客记录,但该网站索引的增量客户数据表明,这个数字可能高于700万。另外,目前同样不清楚Panerabread顾客的账户密码是否也会受到影响。

在发布的一份书面声明中,Panerabread表示它已经在收到KrebsOnSecurity通知后不到两个小时的时间里解决了这个问题。但Panerabread并没有解释为什么在最初验证Houlihan的调查结果后,竟用了八个月的时间来解决问题。

“Panerabread非常重视数据安全,这个问题已经解决。”声明写道,“在今天收到关于在我们网站上发现潜在安全问题的报告后,我们暂停了存在问题的功能。我们的调查仍在继续,但没有任何证据表明顾客的支付卡信息已经遭到了泄露,也没有大量的记录被访问或检索。”