与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

美国最大面包连锁店数百万顾客记录泄露长达八个月

发布时间:2018-04-03 来源: 浏览次数:9664次

网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网站panerabread[.]com泄露了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字 

KrebsOnSecurity还表示,在他们与该公司取得联系后,该网站已在周一早些时候离线。而截止到这个时间,这起数据泄露事件至少已经持续了长达八个月的时间。


Panerabread网站以明文形式泄露顾客记录

根据相关资料显示,从成立到现在,总部位于美国圣路易斯的Panerabread已经经营了超过30年的时间。其在美国和加拿大拥有超过2100家分店,其中自营店和加盟店各占一半左右,每年的销售额都达到了数十亿美元。

Panerabread允许顾客可以通过panerabread[.]com进行注册来在线订购食品,以此来拓宽销售渠道。顾客在通过网站下单后,可以选择让Panerabread店员进行配送或者自己去商店取货。

而问题就出在这里,安全研究员Dylan Houlihan发现,来自Panerabread网站的纯文本数据似乎包含了所有注册顾客的详细个人资料。

安全研究人员已在去年8月通知了该公司

KrebsOnSecurity在周一与Houlihan取得联系后了解到了这一事件。另据Houlihan的说法,他早在201782日就已经将一发现通知了Panerabread公司。

HoulihanKrebsOnSecurity展示了一张包含他和Panerabread公司信息安全主管Mike Gustavison的往来电子邮件截图。根据截图显示的信息来看,Gustavison最初曾怀疑Houlihan的报告可能是一个骗局。然而,截图后半部分显示的信息表明,该公司并未文件加密,仅在一周后就验证了Houlihan的调查结果,并表示正在进行修复。

在本周一早些时候,也就是在Houlihan首次报告问题之后的八个月,Houlihan最新分享的数据表明,该网站仍以在明文形式泄露顾客记录。更糟糕的是,这些记录可以通过自动化工具来进行搜索和抓取,而这样的操作并不复杂。

Houlihan解释说,某些顾客记录包含唯一标识符。只要有新记录,这个标识符就都会增加一个,这使得任何人都可以很容易地搜索出所有可用的顾客账户。另外,数据库的格式也允许任何人通过各种数据点(包括电话号码)搜索对应的顾客账户,然后查看到相关联的所有信息。

数据泄露持续了8个月时间仍未彻底解决

当被问及到在20178月进行通报后直到现在以来,是否看到有任何迹象表明Panerabread曾试图解决这个问题时,Houlihan表示“从来没有”。

Houlihan说:“没有,这个问题永远不会消失。我每个月都会检查一次,因为我很生气。”

KrebsOnSecurity 于本周一通过电话与PaneraPanerabread的首席信息官John Meister进行短暂的谈话后不久,该公司就已经将该网站离线。虽然网站在不久之后便进行了重新联机,但上面引用的数据已经不再能够被访问了。


值得指出的是,在这些记录中暴露的另一个数据点包括顾客的Panera会员卡号码,某些信誉度高的会员卡号码可能会被网络犯罪分子滥用以透支购买食品,或以其他方式通过从这些账户中获取价值。

至少有700Panerabread顾客记录遭泄露

KrebsOnSecurity表示,目前尚不清楚该公司的网站到底暴露了多少顾客记录,但该网站索引的增量客户数据表明,这个数字可能高于700万。另外,目前同样不清楚Panerabread顾客的账户密码是否也会受到影响。

在发布的一份书面声明中,Panerabread表示它已经在收到KrebsOnSecurity通知后不到两个小时的时间里解决了这个问题。但Panerabread并没有解释为什么在最初验证Houlihan的调查结果后,竟用了八个月的时间来解决问题。

Panerabread非常重视数据安全,这个问题已经解决。”声明写道,“在今天收到关于在我们网站上发现潜在安全问题的报告后,我们暂停了存在问题的功能。我们的调查仍在继续,但没有任何证据表明顾客的支付卡信息已经遭到了泄露,也没有大量的记录被访问或检索。”

推荐新闻

疫情下的数据安全

2021-01-12

近日,一份新冠肺炎确诊病例密切接触者协查函,让梁女士的姓名、电话等个人隐私信息在丽江朋友圈流传,有人发短信对她进行...

局域网监控软件,让终端泄密行为无所遁形

2021-08-20

将于今年9月1日施行的《中华人民共和国数据安全法》是我国在数据安全方面颁布的首条法律,这预示着目前我国的数据安全保...

局域网上网行为管理系统的优势

2021-11-30

局域网上网行为管理系统是指能够帮助用户控制和管理对互联网的使用的系统。它能够对企业的敏感数据进行识别,判断哪些数据...

新加坡公务员因泄露防疫信息被捕

2020-04-10

4月5日,新加坡警察部队宣布,一名37岁的女性公务员和她的丈夫因泄露新加坡防疫信息而被捕。 ...

把规范企业用户上网行为交给局域网监控系统

2021-08-04

早前,湖南某公司出现一起商业机密遭泄露的事件,员工偷窃公司核心技术自立门户,警方先后抓获7名嫌疑人查获了大量涉案侵...

Copyright ©2006-2021 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部