Leak

Panerabread.com Leak: Un fallo en su api expone todos los registros de los usuarios durante meses

Daniel

4 min read
Panerabread.com Leak: Un fallo en su api expone todos los registros de los usuarios durante meses

Panerabread.com, el sitio web de una cadena estadounidense de restaurantes casuales de panadería y pastelería con el mismo nombre, filtró millones de registros de clientes, incluidos nombres, correos electrónicos y direcciones físicas, cumpleaños y los últimos cuatro dígitos del número de tarjeta de crédito de los clientes. Durante al menos ocho meses antes de que se dieran cuenta del problema el día de hoy.

Los datos disponibles en texto plano del sitio de Panera parecían incluir registros de cualquier cliente que se haya registrado en una cuenta para pedir comida en línea a través de panerabread.com. La compañía con sede en St. Louis, que tiene más de 2.100 puntos de venta minorista en los Estados Unidos y Canadá, permite a los clientes pedir comida en línea para que la recojan en las tiendas o para la entrega.

panerabread-red

Registros actualizados del sitio de Panera, que permiten a cualquier persona buscar por una variedad de atributos del cliente, incluyendo número de teléfono, dirección de correo electrónico, dirección física o número de cuenta de lealtad. En este ejemplo, el número de teléfono era una línea principal en un edificio de oficinas donde muchos empleados diferentes aparentemente se registraron para pedir comida en línea.

El investigador de seguridad Dylan Houlihan, quien dijo que notificó inicialmente a Panera sobre la filtración de datos de clientes de su sitio web el 2 de agosto de 2017.

Un largo hilo de mensajes que Houlihan compartió entre él y Panera indica que Mike Gustavison, director de seguridad de la información de Panera, inicialmente descartó el informe de Houlihan como una estafa probable. Una semana después, sin embargo, esos mensajes sugieren que la compañía había validado los hallazgos de Houlihan y estaba trabajando en una solución.

"Gracias por la información que estamos trabajando en una resolución", escribió Gustavison.

paneranote

Avance rápido hasta esta tarde, exactamente ocho meses después del día en que Houlihan informó por primera vez sobre el problema, y los datos compartidos por Houlihan indicaron que el sitio todavía estaba filtrando los registros de los clientes en texto sin formato. Peor aún, los registros podrían ser indexados y rastreados por herramientas automatizadas con muy poco esfuerzo.

Por ejemplo, algunos de los registros de los clientes incluyen identificadores únicos que se incrementan en uno para cada nuevo registro, lo que hace que sea potencialmente simple para alguien raspar todas las cuentas de clientes disponibles. El formato de la base de datos también permite que cualquier persona busque clientes a través de una variedad de puntos de datos, incluso por número de teléfono.

"Panera Bread utiliza números enteros secuenciales para las identificaciones de cuenta, lo que significa que si su objetivo es recopilar la mayor cantidad de información que pueda sobre alguien, simplemente puede incrementar las cuentas y recolectar todo lo que quiera, hasta e inclusive toda la base de datos", dijo Houlihan.

Al preguntársele si vio algún indicio de que Panera alguna vez abordó el problema que informó en agosto de 2017 hasta hoy, Houlihan dijo que no.

"No, el fallo nunca desapareció", dijo. "Lo revisé cada mes más o menos porque estaba enfadado".

Poco después la compañía puso brevemente el sitio web fuera de línea. A partir de esta publicación, el sitio vuelve a estar en línea, pero los datos a los que se hace referencia anteriormente ya no parecen accesibles.

paneradown

Otra cosa más que se podía extraer de los datos expuesto en estos registros el es número de tarjeta de fidelidad Panera del cliente, que los estafadores podrían abusar de ellos para gastar cuentas prepagas o para desviar el valor de las cuentas de fidelización de clientes de Panera.

Todavía no está claro exactamente cuántos registros de clientes de Panera pudieron haber sido expuestos por el sitio web con filtraciones de la compañía, pero los números incrementales de clientes indexados por el sitio sugieren que la cantidad puede ser mayor de siete millones. Tampoco está claro si las contraseñas de la cuenta de cliente de Panera pueden haber sido afectadas.

En una declaración escrita, Panera dijo que había resuelto el problema en menos de dos horas después de recibir la notificación de un investigador. Pero Panera no explicó por qué la compañía tardó ocho meses en solucionar el problema después de reconocerlo inicialmente en privado con Houlihan.

"Panera se toma la seguridad de los datos muy en serio y este problema se resuelve", dice la declaración. "Tras los informes de hoy sobre un posible problema en nuestro sitio web, suspendimos la funcionalidad para reparar el problema. Nuestra investigación continúa, pero no hay evidencia de que se haya accedido ni recuperado una gran cantidad de registros".