En substance, cela fait huit mois au moins que le site web de la chaîne de boulangeries situées en Amérique expose les données de ses utilisateurs. Le rapport de vulnérabilité adressé à Panera Bread par le chercheur remonte au mois d’août 2017, mais l’intervention de ce dernier n’a pas porté ses fruits puisque les contenus des correspondances, initialement jugés « douteux » par Panera Bread, n’ont pas été exploités. Contacté par Dylan Houlilan hier, Brian Krebs est monté au créneau le même jour pour communiquer de façon plus large sur la faille, un souci avec la structure du site qui permet d’accéder à des informations en principe confidentielles à partir d’URL vulnérables.
Illustration avec un fichier JSON dont le contenu révèle que les données sont stockées en clair. Ainsi, noms de client, adresses e-mail, lieux de résidence, numéros de téléphone, dates d'anniversaire et chiffres des cartes de crédit des utilisateurs du site web pourraient être entre les mains d’acteurs malveillants. De quoi faire sucer les doigts à un pirate à même de constater, comme le précisent Dylan Houlilan et Brian Krebs, qu’il suffit d’effectuer un incrément sur le nombre en bout d’URL – l’identifiant client – pour passer d’un compte à l’autre.
Faisant suite à la publication de Brian Krebs, Panera Bread a passé son site en mode maintenance et a corrigé la vulnérabilité. C’est du moins ce qu’a déclaré John Meister, Chief Information Officer chez Panera dans les colonnes de Fox Business. « Suite aux rapports d'aujourd'hui à propos d'un possible problème au niveau de notre site web, nous avons désactivé la fonction, afin de résoudre le problème. Nos recherches sont encore en cours, mais il n'existe aucune preuve que des informations relatives à des cartes de paiement ou que de grandes quantités de données aient pu être retrouvées ou dérobées », a-t-il précisé.
D’après John Meister, le problème n’aurait concerné qu’une dizaine de milliers de clients. Brian Krebs a fait une nouvelle sortie pour rejeter cette affirmation et a posté d’autres liens à problèmes. En s’appuyant sur des données fournies par Hold Security, une autre firme de sécurité lancée dans les investigations, Brian Krebs a porté le chiffre à 37 millions d’utilisateurs.
À date, le site web de la chaîne de boulangeries est inaccessible ; une posture aux antipodes de l’assurance affichée lors du premier contact avec Dylan Houlilan : « mon équipe a reçu vos courriels qui nous ont paru très suspects, de l’ordre de l’arnaque ; ils ont donc été ignorés. »
Les organisations sont en principe pyramidales et dans des cas comme celui-ci on ne peut que se retourner vers l’individu au sommet pour demander des comptes. Dans le cas Parena, la personne indiquée est Mike Gustavision, directeur de la sécurité des systèmes d’information, un ancien d’Equifax entre 2009 et 2013. Suivez le regard…
Sources
Billet Houlilan
Krebsonsecurity
Et vous ?
Que pensez-vous de cet autre cas de fuite massive de données ?
À quel degré doit-on engager la responsabilité du directeur de la sécurité des systèmes d’information dans ce cas ?
Voir aussi
Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage d'une société de renseignement de crédit