Yo'q, Panera noni xavfsizlikka jiddiy e'tibor bermaydi

tl; dr: 2017 yil avgust oyida men Panera nonining zaifligi haqida xabar berdim, bu to'liq ism, uy manzili, elektron pochta manzili, oziq-ovqat / parhez imtiyozlari, foydalanuvchi nomi, telefon raqami, tug'ilgan kuni va saqlangan kredit kartaning so'nggi to'rtta raqamiga kirishga imkon berdi. hisobni ro'yxatdan o'tkazgan har qanday foydalanuvchi uchun ommaviy ravishda. Bu mening shaxsiy ma'lumotlarimni o'z ichiga oladi! Muammoni aniq tan olishiga va uni hal qilishga va'da berishiga qaramay, Panera Nonlari zaiflik ustida o'tirdi va men aytib o'tganimdek sakkiz oy davomida bu haqda hech narsa qilmadi. Brayan Krebs ushbu yangilikni ochiqchasiga e'lon qilganda, boshqa ommaviy axborot vositalari odatdagidek "Biz sizning xavfsizligingizga jiddiy yondashamiz, xavfsizlik biz uchun ustuvor vazifadir" deya ta'kidladi Panera Bread. Eng yomoni, zaiflik umuman aniqlanmadi - demak, kompaniya yuzini saqlab qolish uchun OAVga xavfsizlikning asl holatini noto'g'ri taqdim etgan yoki bu haqiqatni o'zi aniqlay oladigan darajada emas. Ushbu post kanonik vaqt jadvalini belgilaydi, shunda keyingi xabarlar chalkashmaydi.

  1. Birinchidan, men xabar berganimning isboti va vaqt jadvalining boshlanishi. Men ushbu zaiflik haqida 2017 yil avgust oyida xabar berdim, buni Panera Nonning Axborot xavfsizligi bo'yicha direktori Mayk Gustavison bilan quyidagi elektron pochta almashinuvi ko'rsatmoqda. Ular bilan umumiy security@panerabread.com elektron pochta manzili (u yoqdi), Twitter va hattoki LinkedIn hamda Mayk Gustavisonga elektron pochta xabarlari orqali murojaat qilishga urinib ko'rganimdan so'ng (men uning ma'lumotlarini LinkedIn-da topdim) men bilan rasmiy ravishda tanishgan bir sohaga aloqador shaxs tanishtirdi. o'zaro bog'liqlik.
Xavfsizlik bo'yicha mutaxassisga o'z dasturlarida xavfsizlik nuqtai nazaridan xabardor bo'lgan xushmuomalali elektron pochta xabarini yuborganimdan so'ng, meni firibgar rassom sifatida ayblashmoqda. E'tibor bering, men hech qachon, hech qanday elektron pochta orqali xizmatlarni so'ramayman yoki aldashga harakat qilmayman.Men PGP kalitini qabul qilaman, zo'r.Men shifrlangan hisobotni yuboraman, keyin kuzatib boraman. O'tayotgan kunlarga e'tibor bering.Yana kuzatib borish. Yana kunlar o'tdi. Va nihoyat aniq tasdiq. Izoh - hali ham 2017 yil avgust.

Men muhim bir narsani aytishga bir oz vaqt ajratmoqchiman. Men tashqi tomondan bu kabi tasodifiy xavfsizlik hisobotlarini topshirish uchun mas'ul bo'lgan xavfsizlik muhandisi sifatida ishladim. Men ham shunga o'xshash hisobotlarni kompaniyalarga xatoliklar tufayli va mukofotni kutmasdan iltifot sifatida taqdim etdim. Men stolning ikkala tomonida edim. Meni qabul qilgan javoblar baribir to'g'ri emas. Bunday suhbatni shunchalik mudofaa qilish uchun hech qachon asos bo'lmaydi. Men odamlar juda ko'p ortiqcha xavfsizlik hisobotlarini yuborishlarini bilaman, chunki ularni olishim kerak edi. Ammo men suhbatni hech qachon antagonistik tarzda boshlamaganman - bu bunday munosabat uchun bahona emas.

Endi, meni tuzatish kerakligiga ishonch hosil qilganimdan so'ng, men har oy bu zaiflikni tekshirib ko'rdim, chunki mening ma'lumotlarim u erda, ya'ni men shaxsan unga ta'sir qilaman. Shuning uchun men shaxsan shuni bilamanki, bu hech qachon oraliqda yamalgan emas. Agar shunday bo'lsa ham, uni mahkamlab, tasodifan qayta kiritib qo'yish deyarli baribir yomon, chunki uni umuman tuzatmaslik kerak. Ammo men biron narsani qilishni to'xtatib, ularni davom ettirishga qaror qildim. Sakkiz oy o'tadi.

2. Bugun oldinga tez. Javob berishdan charchadim, shuning uchun uni nashr etishga qaror qildim. Avval kontseptsiya isboti sifatida foydalanish uchun zaiflikni tavsiflovchi Pastebin sahifasini yaratdim. Keyin men elektron pochta orqali va Twitter DM bilan ikkalamiz Troy Xant va Brayan Kreblarga Pastebin sahifasini ochib, bu vaziyatni kuchaytirishga yordam berishlarini so'rab murojaat qildim va bu haqda olti oy oldin xabar berganimni aytdim. Pastebin zaifliklarni quyidagicha ta'riflaydi:

Bundan tashqari, texnik ma'lumot uchun 7682200f0cd27a4f1a3c2301941d959aae7abf89136c38a4f1ded4d2bb7a67d7" src="https://imgstore.nyc3.cdn.digitaloceanspaces.com/stonemountainclub/1570128080424.png" />

Bu shunchaki ushbu postning boshida aytganlarimni takrorlaydi. Keyin men nima deyayotganimni tushunchani bir marta bosish isboti sifatida tasvirlash uchun ikkita aniq API nuqta berdim:

Ushbu eslatma juda muhim, chunki bu siz biron-bir aniq foydalanuvchini nishonga olishingiz yoki bu ma'lumotlarni to'plash uchun hech qanday aloqaga kirishishingiz shart emasligini anglatadi. Siz hattoki tizimga kirishingiz shart emas. Siz shunchaki tartibni kattalashtirishingiz mumkin va siz ma'lumotlar bazasidagi har bir foydalanuvchini ushlaysiz.

Krebs meni bu masalada o'z zimmasiga oldi va u oldindan nashr etilgan xushmuomalalik sifatida Panera Bread kompaniyasining bosh ma'muriga murojaat qilishni davom ettirdi. Keyin u o'z maqolasini yozadi:

... bunga olib kelgan:

"Panera Non" buyurtma portali muammoni echish uchun bir soat davomida to'xtab qoldi. Qayta tiklangan vaqtga kelib, yangiliklar saytlari allaqachon Krebsning maqolasi va kompaniyaning bayonotlariga asoslangan holda ishlay boshladilar. Agar tanish bayonotni topsangiz, ko'ring.

Kompaniya dastlabki xabarnomadan so'ng sakkiz oy davomida shunday arzimas ochiladigan teshikni qoldirishga qodir emas, ammo uni e'lon qilinganidan keyin ikki soat ichida jurnallarni aniq ko'rib chiqishga qodirmi?Yana Bu noto'g'ri. Aksariyat odamlar har doim sarlavhani o'qib chiqishgan, ammo bu Panera Nonining sakkiz oy davomida zaiflik haqida o'tirganini mutlaqo isbotlaydi.Va u qalin harflar bilan va tirnoq bilan ta'kidlangan -

Ammo hal qilinmadi! Bu aniq, qat'iy va hal qilinmagan, garchi ular buni aniq aytishdi:

Ushbu kashfiyot Krebsning ushbu tvitini yanada qiziqroq qildi:

Shunda toshqin eshiklari ochildi. Krebs xuddi shu aniq zaiflikning yana bir nechta misollarini topishga muvaffaq bo'ldi, bu esa kompaniya aslida uni hal qilmaganligini ko'rsatdi:

Keyin Krebs ko'proq qazishni amalga oshirdi va bu zaiflik boshqa dasturga tegishli ekanligini bilib oldi:

Va mutlaq tepuvchi! Mayk Gustavison, men xabar bergan Axborot xavfsizligi bo'yicha direktori 2009–2013 yillarda Equifax-da ishlagan:

Tekshirib ko'r:

Shubhasiz, Panera Non 2013 yilda Equifaxni buzilishini bilmas edi. Ammo yuqorida aytilganlardan so'ng, bu juda hayratlanarli ko'rinadimi?

Krebs, zaiflik haqiqatan ham yamalganligini tasdiqlab, qarshi misollar to'plamini ochgandan so'ng, Panera Non yopildi:

Ammo endi u quyidagicha ko'rinadi:

Dastlab men Panera-ni mustaqil ravishda tuzatishini sakkiz oy kutishga rozi edim. Ammo bu bema'ni. Bularning barchasini gilamchani supurib tashlaganligi to'g'risida xabar berishdan to'xtamayman. "Panera non" veb-sayti "qaror" hech narsa hal qilmaganligini ko'rsatadigan bir nechta aniq misollar tufayli ishdan chiqqan bo'lsa-da, yangilik xabarlari bu haqiqatni yangilamaydi.

Xavfsizlik nuqtai nazaridan kompaniyalarning ommaviy bayonotlari uchun ko'proq javobgarlikni o'z zimmamizga olishni boshlamagunimizcha, PR bilan gaplashishda befarqlikni inkor etuvchi bayonotlarni ko'rishda davom etamiz. Troy Xantning so'zlari bilan aytganda, Panera Bread "Biz xavfsizlikka jiddiy yondashamiz" deganida, ular "biz bunga jiddiy e'tibor bermadik" degan ma'noni anglatadi.

YANGILASh: Bu men o'ylagandan ko'ra ko'proq e'tibor oldi! Men bunga biron bir narsa qo'shish fursatidan foydalanmoqchiman. Buning uchun Panera nonini bulut qilish juda oson, ammo menimcha, Panera Nonining harakatlarini xavfsizlik haqida hisobot berish va unga rioya qilish bilan bog'liq bo'lgan juda katta muammoning alomatlari sifatida ko'rishimiz kerak. Bu biron bir kompaniya turiga xos bo'lgan muammo emas. Bu oldin bo'lgan va bundan keyin ham shunday bo'ladi. Bundan ibrat olsak bo'ladi.

  1. Kompaniyalar zararni boshqarish bo'yicha reaktsion bayonotlar berganda biz tanqidiy munosabatda bo'lishimiz mumkin. Biz ularni yuqori darajadagi hisobdorlik standartiga rioya qilishimiz kerak. Ochig'ini aytganda, men ommaviy axborot vositalari uchun nimani anglatishini bilmayman, ammo bu haqda batafsil va batafsil reportaj qilishning yaxshiroq yo'li bo'lishi kerak.
  2. Bu rag'batlantirish nimaga imkon berganligini birgalikda o'rganishimiz kerak. Ishonmayman, bu biron bir aniq bir ishchi bilan yakka muvaffaqiyatsizlik bo'lgan. Ba'zi bir shaxslarga ishora qilish juda oson, lekin ular bu xatti-harakatlar keng korporativ madaniyat va ustuvorliklarga tubdan mos kelmasa, ular bu lavozimlarda qolmaydi.
  3. Agar siz xavfsizlik bo'yicha mutaxassis bo'lsangiz, iltimos, iltimos, havfsizlikka oid ma'lumotlarni oshkor etish uchun tahdid qilinmaydigan jarayonni tavsiflovchi asosiy sahifani yarating. Ushbu jarayonni "Salom, mening hisobim buzilgan" mijozlarni qo'llab-quvvatlash jarayonidan aniq farqlang. Texnik jihatdan ham, amaliy jihatdan ham, ushbu hisobotlarni tekshirish uchun malakali va jalb qilingan kishi tomonidan darhol o'qilishini tekshiring. Sizga xato yoki imtiyozni taklif qilishning hojati yo'q. Odamlarga sizga ishonch bilan bemalol murojaat qilishlariga imkon beradigan yo'lni taklif qilish kifoya qiladi.