Los registros de los clientes de Panera Bread expuestos a través de una base de datos con fugas – ¡masa!

En este momento, hay una guerra de palabras entre el veterano reportero del delito cibernético Brian Krebs y la cadena de panadería estadounidense Panera Bread.

Krebs escribió recientemente sobre un problema de fuga de datos en el sitio web de Panera, según el cual los delincuentes supuestamente podrían extraer información personal sobre clientes de Panera, sin iniciar sesión ellos mismos, buscando directamente términos probables en la base de datos en línea de Panera.

Por ejemplo, si conocía el número de teléfono de una persona, podría ingresar una solicitud de búsqueda y recuperar la información que Panera tenía sobre ese número de teléfono.

En el artículo de Krebs, dio un ejemplo donde la búsqueda de un número de teléfono único de la empresa recuperaba datos de numerosos usuarios, incluido el nombre de usuario, la dirección de correo electrónico y los últimos cuatro dígitos de la tarjeta de crédito, presumiblemente porque varios empleados de una empresa ubicada cerca de uno de los puntos de venta de Panera para las entregas a su lugar de trabajo.

Peor aún, los atacantes aparentemente podrían buscar por ID de cuenta, un identificador numérico que, según Krebs, simplemente puede incrementarse en uno por cada nuevo usuario.

En otras palabras, si usted tenía una cuenta Panera usted mismo y sabía que su ID numérica era, por ejemplo, 31337 , intentar 31338 , 31339 y así sucesivamente podría permitirle recuperar al menos cierta información personal sobre otros clientes que realizaron transacciones por primera vez alrededor del sitio. la misma vez que lo hiciste

Por supuesto, probando miles o cientos de miles de identificaciones en secuencia, podría, al menos en teoría, absorber datos sobre cientos o miles de otros usuarios activos.

Aparentemente, Panera ahora ha trasladado los datos ofensivos fuera del peligro, pero ahí es donde entra en juego la guerra de palabras con Krebs.

Panera está en el registro afirmando que "[o] su investigación hasta la fecha indica que menos de 10,000 consumidores se han visto potencialmente afectados por este problema, y ​​estamos trabajando diligentemente para finalizar nuestra investigación y dar los próximos pasos apropiados".

Es muy posible que Panera pueda respaldar un reclamo de este tipo, suponiendo que tiene registros del servidor que muestran de manera confiable a qué registros de usuario se accedió y cómo, y asumiendo que los registros proporcionan un registro completo y confiable.

Pero Krebs piensa lo contrario , diciendo que "todavía no está claro cuántos registros de clientes de Panera pudieron haber sido expuestos por el sitio web con filtraciones de la compañía, pero los números incrementales de clientes indexados por el sitio sugieren que la cantidad puede ser mayor a siete millones. "

De hecho, Krebs concluye su artículo con la afirmación de que "[s] enlaces […] ubequentes indican que esta brecha de datos puede ser mucho mayor que los 7 millones de registros de clientes reportados inicialmente como expuestos en esta historia. Las vulnerabilidades también parecen tener se extendió a la división comercial de Panera, que sirve innumerables empresas de catering. En el último recuento, el número de registros de clientes expuestos en este incumplimiento parece superar los 37 millones ".

¿Qué hacer?

Incluso si los números de Krebs son máximos teóricos y las cifras de Panera resultan ser las de la vida real, todavía hay una brecha aquí, y podría haberse evitado fácilmente.

Por lo tanto, si tiene una base de datos de clientes de búsqueda accesible en línea, hágase estas tres preguntas:

  1. ¿Es necesario que estos datos estén en línea en absoluto? Si responde "no", desconéctelo de inmediato y de forma permanente.
  2. ¿Requiere esta información que un usuario se autentique primero? Si responde "no", desconéctelo inmediatamente hasta que haya resuelto el proceso de inicio de sesión.
  3. ¿Esta información limita correctamente el acceso al usuario actual? Si responde "no", desconéctelo inmediatamente hasta que haya resuelto el control de acceso adecuado.

Recuerda: si tienes dudas, realmente, realmente, REALMENTE no lo des, especialmente si se trata de datos sobre otra persona.