Компания Panera Bread наконец-то решила проблему массовой утечки данных на своем веб-сайте, предположительно затронувшей миллионы посетителей. Информация оставалась уязвимой в течение восьми месяцев с момента обнаружения угрозы.

Данный инцидент наглядно демонстрирует отношение организаций к кибербезопасности и подтверждает, что СМИ и ИБ-эксперты могут мотивировать бизнес действовать прозрачно в отношении утечек.

Журналист Брайан Кребс (Brian Krebs) вечером в понедельник поведал в своем блоге, что на сайте Panera данные клиентов, в том числе имена, адреса электронной почты, физические адреса, даты рождения и последние четыре цифры банковских карт, хранились в виде простого текста.

«Под ударом оказались данные всех клиентов, создавших учетную запись, чтобы заказывать блюда через сайт panerabread.com», — написал Кребс в своем посте.

Журналист узнал о бреши от ИБ-эксперта Дилана Хулихана (Dylan Houlihan), который утверждает, что предупредил Panera об утечке данных ее клиентов 2 августа 2017 года.

В свою очередь, Хулихан сообщил в блоге, что когда он впервые известил о проблеме Майка Густависона (Mike Gustavison), директора информационной безопасности Panera, его заверили, что над ее решением уже работают.

Однако за восемь месяцев никаких изменений не последовало, поэтому Хулихан обратился к Кребсу, а тот в понедельник переговорил с Джоном Мейстером (John Meister), IT-директором Panera. После этого веб-сайт ненадолго отключили от сети: компания взялась устранять брешь.

«На момент публикации портал уже доступен онлайн, но данных клиентов в открытом доступе больше нет», — отметил Кребс.

Сеть Panera, насчитывающая 2000 заведений, не отреагировала на запросы Threatpost относительно хронологии и масштабов утечки данных с веб-сайта.

Однако компания сообщила Fox News, что пострадало «менее 10 000 клиентов». Столь скромная цифра не убедила ни Кребса, ни Хулихана.

ИБ-журналист в разговоре с Threatpost высказал уверенность, что Panera занизила количество жертв утечки, так как он видел базу по оригинальному URL-адресу, которая насчитывала примерно 7,4 млн записей. По словам Кребса, злоумышленники могли с легкостью проиндексировать и извлечь их все с помощью автоматизированных инструментов.

«Только Panera знает точное количество затронутых пользователей, однако компания, по-видимому, сочла невыгодным оценивать реальный масштаб утечки, и это меня ошарашило, — сказал Кребс в интервью Threatpost. — Попытки преуменьшить серьезность бреши еще никогда не приводили ни к чему хорошему».

Хуже всего то, что специалисты компании скрыли данные пользователей только на основном веб-сайте: Кребсу удалось обнаружить их в виде простого текста на других страницах, в частности на портале Panera для банкетного обслуживания.

Инцидент поставил на повестку дня вопрос требований к прозрачности в отношении безопасности данных. Масса недовольных клиентов и ИБ-экспертов осуждают Panera в соцсетях, не стесняясь в выражениях. Так, исследователь Трой Хант (Troy Hunt) призывает регулирующие органы всерьез заняться этой ситуацией.

По словам Терри Рея (Terry Rey), технического директора компании Imperva, в августе Panera, как минимум, «не поверила в существование бреши и не проверила ее».

«Учитывая то, как быстро сотрудники сети закрыли утечку, руки у них на месте, так почему же они не сделали этого в августе, когда их предупредили в первый раз? — удивляется Рей. — По всей видимости, Panera руководствуется какими-то своими принципами обеспечения безопасности приложений, поэтому неизбежно уйдет время на выяснение, что компания считала нормой, а что — нет, проводила ли она проверки защищенности веб-сайтов и исправляла ли неудачный код при обнаружении проблем».

Хулихан в своем посте выразил уверенность, что пока бизнес не почувствует ответственность за публичные заявления и прозрачность в вопросах утечки данных, подобные ситуации продолжат происходить.

«Общественность должна строже относиться к компаниям, публикующим реакционные заявления в попытках сберечь свой имидж», — написал он.

Категории: Уязвимости