米セキュリティ情報サイトのKrebs on Securityは4月2日、全米でベーカリーカフェを展開するPanera BreadのWebサイトから、利用客の個人情報700万件以上が流出したと伝えた。
それによると、流出したのは利用者の氏名と電子メールアドレス、住所、生年月日、クレジットカード番号の下4桁などの情報。同サイトから商品を注文するためアカウントを登録していた利用客が被害に遭ったと思われる。
流出したデータはデータベースに平文で保存され、電話番号やメールアドレス、住所といった情報を使って誰でも検索できる状態になっているという。
この問題を発見したセキュリティ研究者は、2017年8月にPanera Breadに通知。Paneraの情報セキュリティ責任者はその1週間後の返信で、対応に当たっていると説明していた。
ところが、それから8カ月たった4月2日の時点でも、まだPaneraのサイトから利用客の情報が平文で流出し続けていることが分かった。しかも情報はインデックス化され、自動ツールで取得できる状態になっていたという。流出の原因になったセキュリティ問題も解消されていなかったと研究者は伝えている。
Paneraは今回の問題について、Krebs On Securityから指摘されて2時間以内に修正したと説明した。流出の被害に遭った利用客情報の件数については、Krebs On Securityが700万件以上と伝えたのに対し、PaneraがFox Newsに寄せた声明では、1万件のみだったとしている。
Krebs On Securityによると、流出の原因となった脆弱性は、多数のケータリング企業と取引のあるPaneraの流通事業部にも及んでいたことが判明。流出した件数は3700万件以上に上ると伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia 総合記事一覧で全文を見る
0 件のコメント:
コメントを投稿