Panera menuduh peneliti keamanan "scam" ketika ia melaporkan cacat besar
Panera tidak memperbaiki cacat selama 8 bulan; 37 juta catatan diduga terekspos.
Delapan bulan yang lalu, Panera Bread diberitahu tentang celah keamanan yang membocorkan informasi pelanggan kepada siapa saja yang tahu di mana mencarinya. Tetapi perusahaan gagal untuk memperbaiki kekurangan sampai minggu ini setelah pelanggaran itu dibuat publik dalam laporan yang menunjukkan bahwa itu mempengaruhi 37 juta catatan pelanggan.
Panera Bread mengatakan minggu ini bahwa kebocoran mempengaruhi kurang dari 10.000 konsumen dan telah diperbaiki. Tetapi wartawan keamanan Brian Krebs dan peneliti keamanan yang memberi tahu Panera tentang pelanggaran tahun lalu membantah hal itu. Mereka mengatakan bahwa jutaan catatan pelanggan tersedia secara online dan bahwa mereka tetap tersedia di URL yang dapat diakses publik setelah Panera mengatakan bahwa cacat telah diperbaiki. URL-URL itu tampaknya telah dihapus dari informasi pelanggan, karena mereka sekarang menghasilkan pesan kesalahan, bukan data pelanggan.
Rekaman "dapat diindeks dan dirayapi oleh alat otomatis dengan sedikit usaha," tulis Krebs kemarin. Data yang bocor termasuk nomor kartu loyalitas pelanggan Panera, "yang berpotensi disalahgunakan oleh scammers untuk membelanjakan akun prabayar atau untuk menyedot nilai dari akun pelanggan-loyalitas Panera," tulisnya.
Data yang bocor juga termasuk nama pengguna, nama depan dan belakang, alamat email, nomor telepon, ulang tahun, empat digit terakhir nomor kartu kredit, alamat rumah, informasi integrasi akun sosial, dan preferensi makanan yang disimpan dan pembatasan diet, menurut peneliti keamanan Dylan Houlihan .
Sebelum dihapus, URL menunjukkan data pelanggan dalam format ini:
Menurut Houlihan, cacat "biarkan orang mencari dengan berbagai atribut pelanggan, termasuk nomor telepon, alamat email, alamat fisik, atau nomor rekening loyalitas." Dalam contoh di atas, "nomor telepon adalah saluran utama di gedung kantor tempat banyak karyawan yang berbeda mendaftar untuk memesan makanan secara online."
Panera mengabaikan email, mengatakan itu tampak seperti penipuan
Houlihan memberi tahu Panera tentang kebocoran data pada 2 Agustus 2017, memberi tahu perusahaan bahwa situs web pengirimannya "memaparkan informasi sensitif milik setiap pelanggan yang telah mendaftar untuk akun untuk memesan Panera Bread secara online." Panera memiliki lebih dari 2.000 toko penjualan nasional dan tahunan lebih dari $ 5 miliar.
Houlihan menawarkan untuk mengirim lebih banyak rincian tentang cacat dalam format terenkripsi jika perusahaan bersedia memberikan kunci PGP. Houlihan juga menawarkan untuk mengirim informasi melalui email yang tidak terenkripsi atau mendiskusikannya dalam panggilan telepon.
Sebagai tanggapan, Direktur Keamanan Informasi Panera Mike Gustavison menuduh Houlihan mencoba untuk menipu perusahaan, menurut screenshot dari email yang diterbitkan oleh Houlihan dalam posting blognya kemarin.
Inilah tanggapan Gustavison:
"Tim saya menerima email Anda tetapi sangat mencurigakan dan muncul penipuan di alam karena itu diabaikan. Jika ini adalah taktik penjualan saya akan sangat menyarankan pendekatan yang lebih baik karena menuntut kunci PGP tidak akan menjadi cara yang baik untuk memulai. Sebagai profesional keamanan Anda harus menyadari bahwa setiap organisasi yang memiliki praktik keamanan tidak akan pernah menanggapi permintaan seperti yang Anda kirim. Saya bersedia untuk mendiskusikan kerentanan apa pun yang Anda yakini telah Anda temukan tetapi saya tidak akan ditipu, menuntut restitusi / karunia , atau mendengarkan promosi penjualan. "
Tangkapan layar email tidak menunjukkan Houlihan mencoba menjual apa pun — dia secara pribadi memberi tahu Panera tentang cacat yang bocor data banyak pelanggan, termasuk miliknya. Sebagai seorang profesional keamanan sendiri, Houlihan mencatat bahwa dia tidak akan memulai percakapan tentang potensi celah keamanan "dengan menjadi antagonis."
Gustavison akhirnya memberikan kunci PGP dan Houlihan mengirim informasi terperinci dalam pesan terenkripsi. Houlihan mengirim beberapa email tindak lanjut tanpa mendapatkan jawaban tetapi kemudian menerima balasan dari Gustavison pada 9 Agustus mengatakan bahwa perusahaan itu sedang "bekerja pada sebuah resolusi."
"[Saya yakin itu akan diperbaiki, saya memeriksa kerentanan ini setiap bulan atau lebih karena data saya sendiri ada di sana, yang berarti saya dipengaruhi secara pribadi olehnya," tulis Houlihan. "Jadi saya pribadi tahu fakta bahwa itu tidak pernah ditambal sementara. Dan bahkan jika itu, itu akan diperbaiki dan secara tidak sengaja diperkenalkan kembali hampir sama buruknya dengan tidak memperbaikinya sama sekali. Tapi saya menahan diri untuk melakukan sesuatu, memutuskan untuk membiarkan mereka melanjutkan. Delapan bulan berlalu. "
“Panera sangat memperhatikan keamanan data”
Frustrasi oleh kurangnya perbaikan, Houlihan akhirnya mengulurkan tangan untuk Krebs dan ahli keamanan Troy Hunt. Sebuah artikel yang diterbitkan oleh Krebs kemarin memacu Panera untuk mengambil tindakan, setidaknya di depan hubungan masyarakat.
"Panera sangat memperhatikan keamanan data, dan masalah ini teratasi," kata Kepala Staf Informasi Panera Bread, John Meister, kepada Fox dalam artikel ini kemarin.
Panera mengatakan tidak ada bukti informasi kartu pembayaran yang bocor dan bahwa "Investigasi kami hingga saat ini menunjukkan bahwa kurang dari 10.000 konsumen telah berpotensi terpengaruh oleh masalah ini."
Krebs mempermasalahkan upaya Panera untuk mengecilkan kisah tadi malam. Dalam pembaruan untuk artikelnya, ia menulis bahwa Panera "pada dasarnya" memperbaiki masalah dengan meminta orang untuk masuk ke akun pengguna yang valid di panerabread.com untuk melihat catatan pelanggan yang terpapar (sebagai lawan membiarkan sembarang orang dengan tautan kanan mengakses catatan). "
Krebs juga men-tweet tautan itu, katanya, menunjukkan pelanggaran itu mempengaruhi 37 juta catatan pelanggan.
Tautan yang disediakan oleh Krebs sekarang menghasilkan pesan kesalahan.
"Saya tidak mengetahui salah satu kekurangan yang saya lihat kemarin masih ada di situs," kata Krebs kepada Ars hari ini.
Krebs mengatakan pengujiannya sendiri "tampaknya menunjukkan masalah yang saya angkat tidak lagi menjadi masalah." Namun dia menambahkan bahwa "hanya Panera yang benar-benar dapat memberi tahu Anda jika mereka telah memperbaikinya."
Ars telah mengirim email ke departemen hubungan masyarakat Panera dan Gustavison, dan kami akan memperbarui cerita ini jika kami menerima lebih banyak informasi. Di antara hal-hal lainnya, kami menanyakan kepada Panera bagaimana ia memutuskan bahwa kurang dari 10.000 konsumen terpengaruh.
Houlihan kecewa dengan respons Panera terhadap celah keamanan dan upayanya untuk mengecilkan keparahan kecacatan dalam pernyataan publik.
"Sampai kami mulai memegang perusahaan lebih bertanggung jawab atas pernyataan publik mereka sehubungan dengan keamanan, kami akan terus melihat pernyataan yang mempermasalahkan ketidakpedulian terhadap PR," tulis Houlihan. "Dalam kata-kata Troy Hunt, ketika Panera Bread mengatakan 'Kami menganggap serius keamanan', maksudnya, 'Kami tidak menganggapnya cukup serius.'"