与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

美国最大面包连锁店数百万顾客记录泄露长达八个月

发布时间:2018-04-03 来源: 浏览次数:2085次

网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网站panerabread[.]com泄露了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字 

KrebsOnSecurity还表示,在他们与该公司取得联系后,该网站已在周一早些时候离线。而截止到这个时间,这起数据泄露事件至少已经持续了长达八个月的时间。


Panerabread网站以明文形式泄露顾客记录

根据相关资料显示,从成立到现在,总部位于美国圣路易斯的Panerabread已经经营了超过30年的时间。其在美国和加拿大拥有超过2100家分店,其中自营店和加盟店各占一半左右,每年的销售额都达到了数十亿美元。

Panerabread允许顾客可以通过panerabread[.]com进行注册来在线订购食品,以此来拓宽销售渠道。顾客在通过网站下单后,可以选择让Panerabread店员进行配送或者自己去商店取货。

而问题就出在这里,安全研究员Dylan Houlihan发现,来自Panerabread网站的纯文本数据似乎包含了所有注册顾客的详细个人资料。

安全研究人员已在去年8月通知了该公司

KrebsOnSecurity在周一与Houlihan取得联系后了解到了这一事件。另据Houlihan的说法,他早在201782日就已经将一发现通知了Panerabread公司。

HoulihanKrebsOnSecurity展示了一张包含他和Panerabread公司信息安全主管Mike Gustavison的往来电子邮件截图。根据截图显示的信息来看,Gustavison最初曾怀疑Houlihan的报告可能是一个骗局。然而,截图后半部分显示的信息表明,该公司并未文件加密,仅在一周后就验证了Houlihan的调查结果,并表示正在进行修复。

在本周一早些时候,也就是在Houlihan首次报告问题之后的八个月,Houlihan最新分享的数据表明,该网站仍以在明文形式泄露顾客记录。更糟糕的是,这些记录可以通过自动化工具来进行搜索和抓取,而这样的操作并不复杂。

Houlihan解释说,某些顾客记录包含唯一标识符。只要有新记录,这个标识符就都会增加一个,这使得任何人都可以很容易地搜索出所有可用的顾客账户。另外,数据库的格式也允许任何人通过各种数据点(包括电话号码)搜索对应的顾客账户,然后查看到相关联的所有信息。

数据泄露持续了8个月时间仍未彻底解决

当被问及到在20178月进行通报后直到现在以来,是否看到有任何迹象表明Panerabread曾试图解决这个问题时,Houlihan表示“从来没有”。

Houlihan说:“没有,这个问题永远不会消失。我每个月都会检查一次,因为我很生气。”

KrebsOnSecurity 于本周一通过电话与PaneraPanerabread的首席信息官John Meister进行短暂的谈话后不久,该公司就已经将该网站离线。虽然网站在不久之后便进行了重新联机,但上面引用的数据已经不再能够被访问了。


值得指出的是,在这些记录中暴露的另一个数据点包括顾客的Panera会员卡号码,某些信誉度高的会员卡号码可能会被网络犯罪分子滥用以透支购买食品,或以其他方式通过从这些账户中获取价值。

至少有700Panerabread顾客记录遭泄露

KrebsOnSecurity表示,目前尚不清楚该公司的网站到底暴露了多少顾客记录,但该网站索引的增量客户数据表明,这个数字可能高于700万。另外,目前同样不清楚Panerabread顾客的账户密码是否也会受到影响。

在发布的一份书面声明中,Panerabread表示它已经在收到KrebsOnSecurity通知后不到两个小时的时间里解决了这个问题。但Panerabread并没有解释为什么在最初验证Houlihan的调查结果后,竟用了八个月的时间来解决问题。

Panerabread非常重视数据安全,这个问题已经解决。”声明写道,“在今天收到关于在我们网站上发现潜在安全问题的报告后,我们暂停了存在问题的功能。我们的调查仍在继续,但没有任何证据表明顾客的支付卡信息已经遭到了泄露,也没有大量的记录被访问或检索。”

推荐新闻

Imgur承认在2014年的黑客攻击中泄露了170万个账户信息

2018-04-29

imgur是一个免费的图片分享网站,由美国俄亥俄大学一位大三学生Alan Schaaf创办于2009年。imgur...

信息泄露对企业的危害:是否已经中招

2018-04-26

互联网给企业带来了巨大的改变,但也面临着更多的网络安全问题。与单个用户比较,公司存在高质量的数据,机密资料。而大多...

鸡年最后一波炸弹?​苹果 iOS iBoot源码泄露

2018-02-11

近日,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的...

Mozilla发布Firefox Monitor隐私数据泄露通知服务

2018-09-26

自Mozilla宣布向Firefox用户提供数据泄露通知系统已经过去将近一年了,现在测试过程基本结束,Mozill...

美国土安全部远程黑掉一架波音757

2017-12-15

在2017 CyberSat峰会上(CyberSat Summit),美国国土安全部(DHS)某官...

Copyright ©2006-2017 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部