导语:消费者用个人信息换取便利,购物网站知道你买了什么,外卖平台知道你爱吃什么,网约车、共享单车知道你常去哪儿……

oldschool_biz-900x506.jpg

购物网站知道你买了什么,外卖平台知道你爱吃什么,网约车、共享单车知道你常去哪儿……“消费”从没像今天这样透明,“消费者”也是:看得见的是用金钱换商品服务,看不见的是用个人信息换便利。

近日美国最大的面包连锁餐厅Panera Bread的就因巨大的信息泄漏事件,又一次给吃货敲响了一个警钟。

360截图162106021079787.jpg

事件回顾

网络安全公司KrebsOnSecurity在本周一发表的文章中指出,Panerabread的网站panerabread[.]com泄漏了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字。

那为什么panerabread[.]com会有这么详细的客户信息呢?原来,用户可以通过panerabread[.]com来在线订购食品,不过前提是得填写个人的相关数据。

其实早在于2017年8月,安全研究员Dylan Houlihan就发现,来自Panerabread网站所有注册用户的详细个人资料是以明文形式泄漏的。当时在发现这个漏洞后,按照Houlihan的说法,他立马将这一发现通知了Panerabread公司。也意味着,截止本周一Houlihan网站仍在以明文形式泄漏用户数据。更糟糕的是,这些记录可以通过自动化工具来进行搜索和抓取,而这样的操作对于黑客来说简直轻而易举。

为了证明Panerabread公司对安全管理的不作为,Houlihan向记者展示了一张包含他和Panerabread公司信息安全主管Mike Gustavison的往来电子邮件截图。

360截图1639040888102104.jpg

根据截图显示的信息来看,Gustavison虽然曾怀疑过Houlihan的这个发现。不过,截图后半部分却显示,Gustavison在一周后就验证了Houlihan的调查结果,并表示正在进行修复。

泄漏数据的危害

首先是泄漏的数量巨大,按照Panerabread公司的说法,他们总共发现有10000个客户记录被曝光,但研究员Houlihan却表示泄漏的数量达到了惊人的700万。

不过在周一被曝光后,该公司的网站已经无法登陆。虽然网站在不久之后便恢复了,但关于用户信息的网页已经不再能够被访问了,比如注册页面,个人信息查找页面等。

因为原来panerabread[.]com允许用户根据注册信息的某个信息点(比如会员号,姓名,电话号码)就可以登录或查找所对应的账户,这意味着黑客只要有了注册用户的基本注册信息就可以直接伪装成该用户,进行犯罪活动比如某些信誉度高的会员卡号码可能会被网络犯罪分子滥用来购买食品等。另外,目前同样不清楚Panerabread顾客的账户密码是否也会受到影响。

另外,Panerabread会使用连续的整数号码作为会员号,如果黑客想要收集尽可能多的个人信息,就可以不断地通过调整会员号来获取数据库全部的用户信息。

Panerabread的缓解措施

Panerabread一份书面声明中表示:

在该新闻出来两个小时内,我们就采取了应对措施。

但Panerabread并没有解释为什么公司用了八个月的时间才来解决该问题,不过,Panerabread在声明中却写道:

我们非常重视数据安全,这个问题已经解决,今天在我们网站上发现潜在问题的报告后,我们暂停了此问题的功能。我们的调查仍在继续,但没有任何数据表示支付卡信息泄漏的证据,也没有大量的记录被访问或检索。

个人的应对措施

1.如有可能,尽量不要在网上填写个人的真实信息;

2.警惕诈骗电话或其他莫名其妙的的邮件信息,因为黑客会通过泄露的信息再进行二次攻击,比如社会工程攻击。

源链接

Hacking more

...