Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Интернет-сообщество перемывает кости сети кафе Panera, длительное время скрывавшей утечку данных со своего веб-сайта.
Компания Panera Bread наконец-то решила проблему массовой утечки данных на своем веб-сайте, предположительно затронувшей миллионы посетителей. Информация оставалась уязвимой в течение восьми месяцев с момента обнаружения угрозы.
Данный инцидент наглядно демонстрирует отношение организаций к кибербезопасности и подтверждает, что СМИ и ИБ-эксперты могут мотивировать бизнес действовать прозрачно в отношении утечек.
Журналист Брайан Кребс (Brian Krebs) вечером в понедельник поведал в своем блоге, что на сайте Panera данные клиентов, в том числе имена, адреса электронной почты, физические адреса, даты рождения и последние четыре цифры банковских карт, хранились в виде простого текста.
«Под ударом оказались данные всех клиентов, создавших учетную запись, чтобы заказывать блюда через сайт panerabread.com», — написал Кребс в своем посте.
Журналист узнал о бреши от ИБ-эксперта Дилана Хулихана (Dylan Houlihan), который утверждает, что предупредил Panera об утечке данных ее клиентов 2 августа 2017 года.
В свою очередь, Хулихан сообщил в блоге, что когда он впервые известил о проблеме Майка Густависона (Mike Gustavison), директора информационной безопасности Panera, его заверили, что над ее решением уже работают.
Однако за восемь месяцев никаких изменений не последовало, поэтому Хулихан обратился к Кребсу, а тот в понедельник переговорил с Джоном Мейстером (John Meister), IT-директором Panera. После этого веб-сайт ненадолго отключили от сети: компания взялась устранять брешь.
«На момент публикации портал уже доступен онлайн, но данных клиентов в открытом доступе больше нет», — отметил Кребс.
Сеть Panera, насчитывающая 2000 заведений, не отреагировала на запросы Threatpost относительно хронологии и масштабов утечки данных с веб-сайта.
Однако компания сообщила Fox News, что пострадало «менее 10 000 клиентов». Столь скромная цифра не убедила ни Кребса, ни Хулихана.
ИБ-журналист в разговоре с Threatpost высказал уверенность, что Panera занизила количество жертв утечки, так как он видел базу по оригинальному URL-адресу, которая насчитывала примерно 7,4 млн записей. По словам Кребса, злоумышленники могли с легкостью проиндексировать и извлечь их все с помощью автоматизированных инструментов.
«Только Panera знает точное количество затронутых пользователей, однако компания, по-видимому, сочла невыгодным оценивать реальный масштаб утечки, и это меня ошарашило, — сказал Кребс в интервью Threatpost. — Попытки преуменьшить серьезность бреши еще никогда не приводили ни к чему хорошему».
Хуже всего то, что специалисты компании скрыли данные пользователей только на основном веб-сайте: Кребсу удалось обнаружить их в виде простого текста на других страницах, в частности на портале Panera для банкетного обслуживания.
Hey @panerabread : before making half-baked statements to the press to downplay the size of a breach, perhaps you should make sure the problem doesn't extend to all other parts of your business, like https://t.co/rSpkwc3y1v, etc. Only proper response is to deep six entire site
— briankrebs (@briankrebs) April 2, 2018
Инцидент поставил на повестку дня вопрос требований к прозрачности в отношении безопасности данных. Масса недовольных клиентов и ИБ-экспертов осуждают Panera в соцсетях, не стесняясь в выражениях. Так, исследователь Трой Хант (Troy Hunt) призывает регулирующие органы всерьез заняться этой ситуацией.
“Panera takes data security very seriously” — Bull. Shit.
This is the sort of incident regulators need to throw the book at. It’s one thing to have a vulnerability, but it’s quite another to ignore it *and* claim you’re taking it seriously. https://t.co/1FRWE3tndP
— Troy Hunt (@troyhunt) April 2, 2018
По словам Терри Рея (Terry Rey), технического директора компании Imperva, в августе Panera, как минимум, «не поверила в существование бреши и не проверила ее».
«Учитывая то, как быстро сотрудники сети закрыли утечку, руки у них на месте, так почему же они не сделали этого в августе, когда их предупредили в первый раз? — удивляется Рей. — По всей видимости, Panera руководствуется какими-то своими принципами обеспечения безопасности приложений, поэтому неизбежно уйдет время на выяснение, что компания считала нормой, а что — нет, проводила ли она проверки защищенности веб-сайтов и исправляла ли неудачный код при обнаружении проблем».
Хулихан в своем посте выразил уверенность, что пока бизнес не почувствует ответственность за публичные заявления и прозрачность в вопросах утечки данных, подобные ситуации продолжат происходить.
«Общественность должна строже относиться к компаниям, публикующим реакционные заявления в попытках сберечь свой имидж», — написал он.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |