Panerabread.comle site Web de la chaîne américaine de restaurants décontractés rapides de boulangerie-café du même nom, a divulgué des millions de dossiers de clients – y compris les noms, les adresses électroniques et physiques, les anniversaires et les quatre derniers chiffres du numéro de carte de crédit du client – pendant au moins huit mois avant qu’il ne soit mis hors ligne plus tôt dans la journée, a appris BreachTrace.
Les données disponibles en texte brut sur le site de Panera semblaient inclure des enregistrements pour tout client ayant ouvert un compte pour commander de la nourriture en ligne via panerabread.com. La société basée à Saint-Louis, qui compte plus de 2 100 points de vente aux États-Unis et au Canada, permet aux clients de commander des aliments en ligne pour le ramassage en magasin ou pour la livraison.
Enregistrements expurgés du site de Panera, qui permettent à quiconque de rechercher par une variété d’attributs client, y compris le numéro de téléphone, l’adresse e-mail, l’adresse physique ou le numéro de compte de fidélité. Dans cet exemple, le numéro de téléphone était une ligne principale dans un immeuble de bureaux où de nombreux employés différents s’étaient apparemment inscrits pour commander de la nourriture en ligne.
BreachTrace a appris la violation plus tôt dans la journée après avoir été contacté par un chercheur en sécurité Dylan Houlihanqui a déclaré avoir initialement informé Panera de la fuite de données client de son site Web le 2 août 2017.
Un long fil de messages que Houlihan a partagé entre lui et Panera indique que Michel Gustavison, directeur de la sécurité de l’information de Panera, a d’abord rejeté le rapport de Houlihan comme une arnaque probable. Une semaine plus tard, cependant, ces messages suggèrent que la société avait validé les conclusions de Houlihan et travaillait sur un correctif.
« Merci pour les informations que nous travaillons sur une résolution », a écrit Gustavison.
Panera a été alertée de la fuite de données début août 2017 et a déclaré qu’elle résolvait alors le problème.
Avance rapide jusqu’au début de cet après-midi – exactement huit mois jour pour jour après que Houlihan a signalé le problème pour la première fois – et les données partagées par Houlihan ont indiqué que le site divulguait toujours les dossiers des clients en texte brut. Pire encore, les enregistrements pouvaient être indexés et explorés par des outils automatisés avec très peu d’effort.
Par exemple, certains enregistrements de clients incluent des identifiants uniques qui s’incrémentent de un pour chaque nouvel enregistrement, ce qui permet à quelqu’un de récupérer facilement tous les comptes clients disponibles. Le format de la base de données permet également à quiconque de rechercher des clients via une variété de points de données, y compris par numéro de téléphone.
« Panera Bread utilise des entiers séquentiels pour les identifiants de compte, ce qui signifie que si votre objectif est de collecter autant d’informations que possible sur quelqu’un, vous pouvez simplement incrémenter les comptes et collecter autant que vous le souhaitez, jusqu’à et y compris toute la base de données », a déclaré Houlihan.
Lorsqu’on lui a demandé s’il avait vu une quelconque indication que Panera avait déjà abordé le problème qu’il avait signalé en août 2017 jusqu’à aujourd’hui, Houlihan a répondu que non.
« Non, la faille n’a jamais disparu », a-t-il déclaré. « Je l’ai vérifié tous les mois environ parce que j’étais énervé. »
Peu de temps après que BreachTrace s’est entretenu brièvement avec le directeur de l’information de Panera Jean Meister par téléphone aujourd’hui, la société a brièvement mis le site Web hors ligne. A compter de cette publication, le site est de nouveau en ligne mais les données référencées ci-dessus ne semblent plus être accessibles.
Panera a supprimé son site aujourd’hui après avoir été informé par BreachTrace.
Un autre point de données exposé dans ces enregistrements comprenait le numéro de carte de fidélité Panera du client, qui pourrait potentiellement être utilisé abusivement par des escrocs pour dépenser des comptes prépayés ou pour détourner de la valeur de toute autre manière. Comptes de fidélité Panera.
On ne sait pas encore exactement combien de dossiers de clients Panera ont pu être exposés par le site Web qui fuit de l’entreprise, mais les numéros de clients supplémentaires indexés par le site suggèrent que ce nombre pourrait être supérieur à sept millions. Il est également difficile de savoir si les mots de passe des comptes clients Panera ont pu être impactés.
Dans une déclaration écrite, Panera a déclaré avoir résolu le problème en moins de deux heures après avoir été informé par BreachTrace. Mais Panera n’a pas expliqué pourquoi il semble avoir fallu huit mois à l’entreprise pour résoudre le problème après l’avoir initialement reconnu en privé avec Houlihan.
« Panera prend la sécurité des données très au sérieux et ce problème est résolu », indique le communiqué. « Suite aux rapports d’aujourd’hui concernant un problème potentiel sur notre site Web, nous avons suspendu la fonctionnalité pour réparer le problème. Notre enquête se poursuit, mais il n’y a aucune preuve d’informations de carte de paiement ni d’un grand nombre de dossiers consultés ou récupérés.
Mise à jour, 20 h 40 HE : Presque quelques minutes après la publication de cette histoire, Panera a fait une déclaration à Fox News minimisant la gravité de cette violation, indiquant que seuls 10 000 dossiers clients ont été exposés. Presque en un instant, plusieurs sources – en particulier @holdsecurity – a souligné que Panera avait essentiellement « résolu » le problème en demandant aux gens de se connecter à un compte d’utilisateur valide sur panerabread.com afin de voir les enregistrements des clients exposés (au lieu de laisser n’importe qui avec le bon lien accéder aux enregistrements) .
Les liens ultérieurs partagés par Hold Security indiquent que cette violation de données peut être bien plus importante que les 7 millions d’enregistrements de clients initialement signalés comme exposés dans cette histoire. Les vulnérabilités semblent également s’être étendues à la division commerciale de Panera qui dessert d’innombrables entreprises de restauration. Au dernier décompte, le nombre de dossiers clients exposés dans cette violation semble dépasser 37 millions. Merci à Panera d’avoir souligné les lacunes de nos recherches. Depuis cette mise à jour, l’ensemble du site Web panerabread.com est hors ligne.