Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

美国最大面包连锁店数百万顾客记录泄露长达八个月

Release time:2018-04-03 source: Browse times:3281

网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网站panerabread[.]com泄露了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字 

KrebsOnSecurity还表示,在他们与该公司取得联系后,该网站已在周一早些时候离线。而截止到这个时间,这起数据泄露事件至少已经持续了长达八个月的时间。


Panerabread网站以明文形式泄露顾客记录

根据相关资料显示,从成立到现在,总部位于美国圣路易斯的Panerabread已经经营了超过30年的时间。其在美国和加拿大拥有超过2100家分店,其中自营店和加盟店各占一半左右,每年的销售额都达到了数十亿美元。

Panerabread允许顾客可以通过panerabread[.]com进行注册来在线订购食品,以此来拓宽销售渠道。顾客在通过网站下单后,可以选择让Panerabread店员进行配送或者自己去商店取货。

而问题就出在这里,安全研究员Dylan Houlihan发现,来自Panerabread网站的纯文本数据似乎包含了所有注册顾客的详细个人资料。

安全研究人员已在去年8月通知了该公司

KrebsOnSecurity在周一与Houlihan取得联系后了解到了这一事件。另据Houlihan的说法,他早在201782日就已经将一发现通知了Panerabread公司。

HoulihanKrebsOnSecurity展示了一张包含他和Panerabread公司信息安全主管Mike Gustavison的往来电子邮件截图。根据截图显示的信息来看,Gustavison最初曾怀疑Houlihan的报告可能是一个骗局。然而,截图后半部分显示的信息表明,该公司并未文件加密,仅在一周后就验证了Houlihan的调查结果,并表示正在进行修复。

在本周一早些时候,也就是在Houlihan首次报告问题之后的八个月,Houlihan最新分享的数据表明,该网站仍以在明文形式泄露顾客记录。更糟糕的是,这些记录可以通过自动化工具来进行搜索和抓取,而这样的操作并不复杂。

Houlihan解释说,某些顾客记录包含唯一标识符。只要有新记录,这个标识符就都会增加一个,这使得任何人都可以很容易地搜索出所有可用的顾客账户。另外,数据库的格式也允许任何人通过各种数据点(包括电话号码)搜索对应的顾客账户,然后查看到相关联的所有信息。

数据泄露持续了8个月时间仍未彻底解决

当被问及到在20178月进行通报后直到现在以来,是否看到有任何迹象表明Panerabread曾试图解决这个问题时,Houlihan表示“从来没有”。

Houlihan说:“没有,这个问题永远不会消失。我每个月都会检查一次,因为我很生气。”

KrebsOnSecurity 于本周一通过电话与PaneraPanerabread的首席信息官John Meister进行短暂的谈话后不久,该公司就已经将该网站离线。虽然网站在不久之后便进行了重新联机,但上面引用的数据已经不再能够被访问了。


值得指出的是,在这些记录中暴露的另一个数据点包括顾客的Panera会员卡号码,某些信誉度高的会员卡号码可能会被网络犯罪分子滥用以透支购买食品,或以其他方式通过从这些账户中获取价值。

至少有700Panerabread顾客记录遭泄露

KrebsOnSecurity表示,目前尚不清楚该公司的网站到底暴露了多少顾客记录,但该网站索引的增量客户数据表明,这个数字可能高于700万。另外,目前同样不清楚Panerabread顾客的账户密码是否也会受到影响。

在发布的一份书面声明中,Panerabread表示它已经在收到KrebsOnSecurity通知后不到两个小时的时间里解决了这个问题。但Panerabread并没有解释为什么在最初验证Houlihan的调查结果后,竟用了八个月的时间来解决问题。

Panerabread非常重视数据安全,这个问题已经解决。”声明写道,“在今天收到关于在我们网站上发现潜在安全问题的报告后,我们暂停了存在问题的功能。我们的调查仍在继续,但没有任何证据表明顾客的支付卡信息已经遭到了泄露,也没有大量的记录被访问或检索。”

Recommended news

加拿大亚岗昆学院服务器感染恶意软件 超过11万条记录遭泄露

2018-07-26

我们最近报道了多起数据泄露事件,涉及到不同的企业、高校、甚至是某些政府机构。就导致数据泄露的原因也各不相同,包括黑...

AWS存储桶泄露50.4 GB数据,金融巨头受影响

2018-03-12

云安全厂商 UpGuard 公司网络风险小组发现一批由于 Amazon Web Services(简称AWS)S3...

美国土安全部超过24万员工的个人数据被泄

2018-01-09

美国国土安全部(DHS)于美国当地时间2018年1月3日发表声明称,其下属监察长办公室(OIG)2014年遭遇一起...

优步隐瞒用户数据泄露事件:给黑客66万了事

2017-11-23

据彭博社11月22日报道,优步隐瞒用户数据泄露事件,其5700万用户和司机的个人数据遭黑客窃取。 &n...

机票“退改签”诈骗引信息泄露大案 涉多家航空公司

2017-11-13

非法入侵50多家民用航空类公司网站,窃取乘客票务信息,再利用这些信息实施网络诈骗,骗取金额1000多万元。近日,浙...

Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top