Panera a accusé le chercheur en sécurité de «l'arnaque» quand il a signalé une faille majeure

Il y a huit mois, Panera Bread a été informée d'une faille de sécurité qui divulguait les informations client à toute personne sachant où la rechercher. Mais la société n’a pas corrigé la faille jusqu’à cette semaine après que la faille ait été rendue publique dans un rapport suggérant qu’elle avait affecté 37 millions de dossiers de clients.

Panera Bread a déclaré cette semaine que la fuite avait touché moins de 10 000 consommateurs et qu'elle avait été corrigée. Mais le journaliste de sécurité Brian Krebs et le chercheur en sécurité qui a informé Panera de la violation l'année dernière ont contesté ce compte. Ils disent que des millions d'enregistrements de clients étaient disponibles en ligne et qu'ils le sont restés à des URL accessibles au public après que Panera eut déclaré que la faille avait été corrigée. Il semble que ces URL aient finalement été supprimées des informations sur le client, car elles produisent désormais des messages d'erreur au lieu des données du client.

Les enregistrements "pourraient être indexés et explorés avec des outils automatisés avec très peu d'effort", a écrit Krebs hier. Les données fuites incluent les numéros de carte de fidélité des clients Panera, "qui pourraient potentiellement être abusés par des fraudeurs pour dépenser des comptes prépayés ou pour siphonner de la valeur des comptes de fidélité Panera", écrit-il.

Selon le chercheur en sécurité Dylan Houlihan, les données divulguées comprenaient également les noms d'utilisateur, noms et prénoms, adresses électroniques, numéros de téléphone, anniversaires, numéros de cartes de crédit, adresses personnelles, informations sur l'intégration du compte social, préférences alimentaires enregistrées et restrictions alimentaires. .

Avant d'être supprimés, les URL montraient les données client sous ce format:

Selon Houlihan, la faille "permettait à quiconque d'effectuer une recherche selon divers attributs du client, notamment son numéro de téléphone, son adresse électronique, son adresse physique ou son numéro de compte fidélité". Dans l'exemple ci-dessus, "le numéro de téléphone était une ligne principale dans un immeuble de bureaux où de nombreux employés apparemment enregistrés pour commander de la nourriture en ligne".

Panera a ignoré le courrier électronique, affirmant que cela ressemblait à une arnaque

Houlihan a informé Panera de la fuite de données le 2 août 2017, indiquant à la société que son site Web de diffusion "expose des informations sensibles appartenant à chaque client qui a créé un compte pour commander Panera Bread en ligne". Panera compte plus de 2 000 magasins dans le pays et réalise un chiffre d’affaires annuel de plus de 5 milliards de dollars.

Houlihan a proposé d’envoyer à Panera davantage de détails sur la faille dans un format crypté si l’entreprise souhaitait fournir une clé PGP. Houlihan a également proposé d’envoyer les informations par courrier électronique non crypté ou d’en discuter lors d’un appel téléphonique.

En réponse, le directeur de la sécurité de Panera Information, Mike Gustavison, a accusé Houlihan d’essayer de frauder la société, selon des captures d’écran des courriels publiés par Houlihan dans son blog, hier.

Voici la réponse de Gustavison:

Mon équipe a reçu vos courriels, mais il était très suspect et apparaissait comme une arnaque. Il a donc été ignoré. S'il s'agit d'une tactique de vente, je recommanderais vivement une meilleure approche, car demander une clé PGP ne serait pas un bon moyen de commencer. En tant que professionnel de la sécurité, vous devez savoir que toute entreprise ayant une pratique de la sécurité ne répondra jamais à une demande comme celle que vous avez envoyée. Je suis disposé à discuter de toutes les vulnérabilités que vous croyez avoir trouvées mais je ne serai pas dupe, exigé pour restitution / prime, ou écouter un argumentaire de vente.

Les captures d'écran de messagerie ne montrent pas que Houlihan essaye de vendre n'importe quoi. Il informait en privé Panera d'une faille qui divulguait les données de nombreux clients, y compris le sien. En tant que professionnel de la sécurité lui-même, Houlihan a déclaré qu'il ne commencerait pas une conversation sur une faille de sécurité potentielle "en étant antagoniste".

Gustavison a finalement fourni une clé PGP et Houlihan a envoyé les informations détaillées dans un message crypté. Houlihan a envoyé plusieurs courriels de suivi sans obtenir de réponse, mais a ensuite reçu une réponse de Gustavison le 9 août, indiquant que la société "travaillait sur une résolution".

"[Après] avoir été rassuré que cela serait corrigé, j'ai vérifié cette vulnérabilité tous les mois environ, car mes propres données y sont contenues, ce qui signifie que je suis personnellement affecté par celle-ci", a écrit Houlihan. "Donc, personnellement, je sais pertinemment qu'il n'a jamais été corrigé dans l'intervalle. Et même si c'était le cas, le corriger et le réintroduire par inadvertance est presque aussi grave que de ne pas le réparer du tout. Mais je me retenais de faire quoi que ce soit, décidant de les laisser continuer. Huit mois passent. "

“Panera prend la sécurité des données très au sérieux”

Frustré par l'absence de solution, Houlihan a finalement contacté Krebs et l'expert en sécurité Troy Hunt. Un article publié hier par Krebs a poussé Panera à agir, du moins sur le front des relations publiques.

"Panera prend la sécurité des données très au sérieux, et le problème est résolu", a déclaré à Me Fox, responsable de l'information à Panera Bread, dans un article publié hier par Fox.

Panera a déclaré qu’il n’existait aucune preuve de fuite d’informations sur les cartes de paiement et que "" l’enquête à ce jour indique que moins de 10 000 consommateurs ont été potentiellement affectés par ce problème ".

Krebs a contesté la tentative de Panera de minimiser l’histoire cette nuit. Dans une mise à jour de son article, il a écrit que Panera "corrigeait" fondamentalement le problème en demandant aux utilisateurs de se connecter à un compte utilisateur valide sur panerabread.com afin d'afficher les enregistrements des clients exposés (au lieu de laisser n'importe qui avec le lien droit accéder aux enregistrements). "

"Panera prend la sécurité des données très au sérieux" - Bull. Merde.

C'est le genre d'incident auquel les régulateurs doivent lancer le livre. Avoir une vulnérabilité est une chose, mais l'ignorer est une autre. et prétendez que vous le prenez au sérieux. //t.co/1FRWE3tndP

- Chasse aux troys (@troyhunt) 2 avril 2018

Krebs a également tweeté des liens qui, a-t-il dit, montraient que la faille affectait 37 millions de dossiers de clients.

Les liens fournis par Krebs génèrent maintenant des messages d'erreur.

"Je ne suis au courant d'aucun des défauts constatés hier sur le site", a déclaré Krebs à Ars aujourd'hui.

Krebs a déclaré que ses propres tests "semblent indiquer que les problèmes que j'ai soulevés ne sont plus des problèmes". Mais il a ajouté que "seul Panera peut vraiment vous dire s'il l'a corrigé".

Ars a envoyé un courrier électronique au service des relations publiques de Panera et à Gustavison. Nous mettrons à jour cette histoire si nous recevons plus d'informations. Nous avons notamment demandé à Panera comment il avait déterminé que moins de 10 000 consommateurs étaient touchés.

Houlihan était déçu de la réponse de Panera à la faille de sécurité et à la tentative de la société de minimiser la gravité de la faille dans les déclarations publiques.

"Jusqu'à ce que nous commencions à tenir les sociétés plus responsables de leurs déclarations publiques en matière de sécurité, nous continuerons de voir des déclarations dénonçant une indifférence méprisante à l'égard des relations publiques", a écrit Houlihan. "Dans les mots de Troy Hunt, quand Panera Bread dit:" Nous prenons la sécurité au sérieux ", ils veulent dire:" Nous ne l'avons pas suffisamment pris au sérieux. "