你有没有注意到,大多数公司只有在他们明显没有把你的安全问题看得那么重之后才说,“我们非常重视你的安全问题”?
让客户失望的最新业务是Panera面包,这是一家受欢迎的面包连锁店,其安全对策可能需要更多的时间在烤箱中。
一个巨大的漏洞可能会暴露多达3700万个用户账户。这本身就够糟糕的了,但更糟糕的是,Panera在8个月前就知道这个潜在的缺陷,却没有解决它。
这个令人难以置信的故事来自安全研究员迪伦·胡利汉和他的同事布莱恩·克雷布斯。胡利汉在一篇详细的中后,而克雷布斯则补充了一些评论他自己的博客.
简化一个非常复杂的问题:任何注册过Panera帐户的人都可以利用其网站上的漏洞查看其他用户的信息。这包括他或她的用户名、电话号码、生日和信用卡的最后四位数字——此外还有全名、实际地址、电子邮件地址甚至你的饮食限制。您可能希望签出列出最好的身份保护服务.
这并不像放弃密码或完整的信用卡号码那个样灾难性,但一个有进取心的网络罪犯可以利用提供的信息做很多事情。事实上,如果你这么想的话,你可以(最终)找到并记录数据库中的每个用户,只需查找一个用户号码,然后向其中添加1,直到你到达最后一行。Panera将所有数据存储在纯文本中,使得搜索和传输变得非常简单。
你能做什么(现在)
首先,坏消息是:没有明确的方法来保护自己免受这种潜在的破坏,特别是因为Panera网站目前已经关闭。你现在最好的选择是等待,看看Panera下一步会做什么,尤其是在该公司向公众发表声明之后福克斯公司声称“正在努力完成调查并采取适当的后续措施”
(然而,正如该公司在同一份声明中声称的那样,这一点也值得怀疑!-问题已经解决,问题影响的客户少于10,000个。Houlihan和Krebs都指出,这些说法被证明是不真实的。恰如其分的是,声明的开头是“Panera非常重视数据安全”。)
目前,您最好的选择可能是更改您在Panera帐户上的密码(当网站恢复时),以及您重新使用密码的任何帐户。当然,没有证据表明该漏洞泄露了任何密码,但要从其他数据泄露中找到旧密码并将其与用户名匹配并不难。
如果你遇到密码超载,或者发现自己在很多不同的网站上使用相同的密码(坏主意!),那么就考虑使用我们认为的一个。最好的密码管理.
当您可以访问Panera的网站时,您可能还希望登录您的帐户并删除尽可能多的个人信息。您可能无法完全删除该帐户,也不清楚Panera存储了多少未显示的数据,但这至少是一个开始。即使你认为自己没有Panera账户,也值得仔细检查,因为它与面包店物理位置的奖励计划有关。
最后,你总是可以取消与你的Panera账户相关联的信用卡(如果你能确定是哪一张)。这是一种极端的措施,可能没有必要。但如果你的Panera账户与一张旧卡(可能是你很少使用的卡)挂钩,取消它也不是最坏的主意。你不会马上注意到旧卡上的潜在欺诈行为,等到你发现的时候,可能已经太晚了。
Ill-bread礼仪
最后,尽管这与你的账户安全没有任何直接关系,但如果没有Houlihan与Panera的安全主管Mike Gustavison(至少在接下来的20分钟内)令人难以置信的会面,那么复述Houlihan的故事就不完整。
Houlihan在8月份发现了Panera网站的漏洞,并立即联系了Panera。"security@panerabread.com电子邮件地址完全不起作用,所以Houlihan试图通过Twitter和LinkedIn发送Gustavison消息。他没有得到任何回应。
当Houlihan最终(通过一个行业联系人)找到Gustavison的电子邮件地址时,得到的回应并不令人鼓舞:
古斯塔夫森回答说:“我的团队收到了你的邮件,但它非常可疑,看起来是骗局,因此被忽略了。”(标点符号显然不流行Panera总部。)”作为一个安全专业你应该意识到任何组织,有一个安全实践永远不会响应一个请求你送的……我不会欺骗,要求赔偿/赏金或听推销。”
即使不考虑古斯塔夫森令人难以置信的冷嘲冷讽的语气(胡利汉恰如其分地称之为“无论如何都不恰当”),古斯塔夫森的话也根本不是真的。像谷歌、Facebook和苹果这样的大公司一直在接受独立安全研究人员主动提供的漏洞报告,甚至为他们提供金钱奖励。值得指出的是,Houlihan在最初的电子邮件中并没有要求赏金;他只是想谈谈这个缺陷。
在最初的沟通失误后,古斯塔维森向胡利汉保证,他将尽快解决这个问题。然而,Houlihan从8月份开始每月都会重新检查数据库,发现它仍然存在。在对古斯塔维森失去耐心后,胡利汉将他的发现发布在Pastebin上,并通过媒体与全世界分享。
值得注意的是,在他加入帕内拉之前,古斯塔夫森是艾可飞. 有时候,你就是无法编造这些东西。
有关安全性的更多信息,请查看最佳防病毒软件这个最佳Mac防病毒软件和最好的安卓防病毒应用.