В начале текущей недели один из ветеранов инфосек-журналистики, знаменитый своими расследованиями и разоблачениями, Брайан Кребс, опубликовал в своем блоге статью, посвященную проблемам популярной на Западе сети кафе Panera Bread.

Кребс рассказал, что еще в августе 2017 года ИБ-эксперт Дилан Хулихан (Dylan Houlihan) обнаружил на сайте Panera Bread (panerabread.com) данные пользователей, которые были доступны любому желающему в открытом виде.

Компания, которой принадлежат более 2100 заведений на территории США и Канады, не сумела должным образом обезопасить panerabread.com, — сайт, через который можно было заказывать еду  с доставкой. Хулихан обнаружил, что может без труда узнать имена пользователей, их email-адреса и адреса доставки, даты рождения, телефонные номера, последние четыре цифры из номеров банковских карт, а также номера карт лояльности. Хуже того, собрать полную базу данных можно было посредством простейшей автоматизации, задействовав краулера.

Однако когда Хулихан уведомил Panera Bread о проблеме, сначала ему сообщили, что он похож скамера. Лишь после долгой переписки представители компании приняли информацию Хулихана к рассмотрению и пообещали устранить утечку информации.

К сожалению, спустя восемь месяцев проблема так и не была решена. До публикации статьи Брайана Кребса сайт Panera Bread по-прежнему разглашал информацию пользователей, и лишь после выхода материала был спешно уведен в оффлайн. Вместе с этим представители Panera Bread поспешили дать комментарий Fox News, в котором попытались сбавить градус паники и сообщили, что потенциально могли пострадать не более 10 000 пользователей, и проблема уже была устранена.

В ответ на это Брайн Кребс и Дилан Хулихан опубликовали опровержения, сообщив, что по их подсчетам, утечка информации компрометирует не менее 37 млн человек. Хотя изначально специалисты считали, что проблема угрожает 7 млн пользователей, позже выяснилось, что все обстоит даже хуже.

you know what, let's go for 37M instead of 7M: https://t.co/7DTaherzMi

— briankrebs (@briankrebs) April 2, 2018

Также эксперты отметили, что проблема, вероятнее всего, все еще не решена до конца, после чего сайт panerabread.com ушел в оффлайн и не работает до сих пор. Хулихан, Кребс и другие известные ИБ-специалисты выступили с критикой действий руководства Panera Bread, заявив, что компания действует в разрез с собственными заявлениями и лукавит, когда говорит, что «Panera Bread относится к безопасности очень серьезно».

“Panera takes data security very seriously” — Bull. Shit.

This is the sort of incident regulators need to throw the book at. It’s one thing to have a vulnerability, but it’s quite another to ignore it *and* claim you’re taking it seriously. https://t.co/1FRWE3tndP

— Troy Hunt (@troyhunt) April 2, 2018

"Panera takes data security very seriously"https://t.co/qr4x3zh4enhttps://t.co/C0syX30uZc pic.twitter.com/OdVk3eWmFM

— Kris Slevens (@cpqNetworks) April 3, 2018

Теги: CSS, Panera Bread пользователей, Хулихан сообщили