Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Panera Breadが脆弱性を8ヶ月放置した結果

ITmediaの4月4日記事に、米国やカナダで2100店舗以上を展開するベーカリーチェーンのPanera Breadからの個人情報漏えいが取り上げられていました。

www.itmedia.co.jp

■公式発表

  現在サイトを閉鎖している様で公式情報が見当たりませんでした。

 f:id:foxcafelate:20180408135434j:plain

事件の状況 
  • 米国の著名なセキュリティ専門家Braian Krebs氏が4/2にブログにてPanera BreadのWebサイトから利用者の顧客情報700万件が漏えいした可能性があると発表
  • 2017年8月2日からPaneraのサイトから個人情報を平文で取り出せた可能性があるとセキュリティリサーチャーDylan Houlihan氏が指摘
  • 漏えいした可能性のあるデータは、電話番号、メールアドレス、住所、会員番号、カードの下4桁
  • Dylan氏は8月初旬にPanera Breadに脆弱性を報告済みだったが、8ヶ月の間にアクションは取られてなかった
  • Panera BreadはFox Newsのインタビューに対し漏えいした可能性のある個人情報は1万件であるとコメントした模様。Krebsのブログ発表後、2時間で脆弱性を修正したとされているが、追加の脆弱指摘を受けて、サイトを閉鎖した模様
  • Paneraのケータリングサイトにも同様な脆弱性があり、最大で37百万人の顧客情報が影響を受けた可能性があると追加報道されている

 

◆キタきつねの所感

平文でデータ閲覧が出来たというのがどんなイメージが掴めなかったのですが、Krebs on Securityの記事中にサンプルが貼ってありました。(※下図、Krebs氏のBlog記事から引用します)

f:id:foxcafelate:20180408140458j:plain

この顧客情報は、オンラインショップであったり、店舗での(予約時間による)ピックアップに使われていたようですが、サイトURLを少し工夫すると(ログと推測されます)、デリバリー用の顧客データが平文で出てきてしまう実装で、自動ツールでこのデータが取得できる状態だったようです。

因みに、全米に非常に購読者の多いKrebs on Securityで記事に取り上げられて、、、2時間でPanera Breadは修正し始めた(色々なところでニュースになってしまいますから・・・)との事ですが、ケータリングサイトやログに残る脆弱点を追加指摘された結果、現在はサイトを閉鎖しているようです。

 

こうしたホワイトハッカー(リサーチャー)によるセキュリティ脆弱性の指摘は、一般的には企業にとって歓迎されるべきものだと思います。自社で気づけない脆弱性に対し、Microsoft、Line、任天堂等々、バグ報奨金を支払う企業も増えてきています。しかし今回のPanera Breadのケースでは、8月にセキュリティリサーチャーが(親切にも)警告メールを出していたにも関わらず、Panera Breadのセキュリティ担当者は、「8ヶ月何もしなかった」ようです。おそらく指摘事項の検証すらしなかったのでしょうが、結果として、企業としても個人としても高い代償を支払わされた、と言えるかも知れません。

 

尚、8ヶ月放置の担当者(Mike Gustavison氏)はPaneraの前にはEquifaxで働いていたようなので、事件を続けて経験する(引き起こした?)事になったようです。

直接のバグ内容は分かりませんが・・・Webのプログラム実装は脆弱であるとの前提で、定期的に(自社で)脆弱性診断をしていれば、もっと早くに脆弱点を気づけたのではないかなと思います。

 

 

パン屋さんのイラスト(女性)

 

更新履歴

  • 2018年4月8日PM(予約投稿)