Panera Bread: Café-Kette exponiert Millionen Kundendaten im Netz

Sicherheitsexperten zufolge sollen die persönlichen Daten von bis zu 37 Millionen Kunden einer großen Kette von Bäckerei-Cafés in den USA frei zugänglich gewesen sein - und das seit mindestens acht Monaten. Bei seiner Reaktion macht das Unternehmen offenbar fast alles falsch.

Artikel veröffentlicht am ,
Die US-Bäckereikette Panera Bread hat offenbar persönliche Daten von bis zu 37 Millionen Kunden ungeschützt im Netz gehabt.
Die US-Bäckereikette Panera Bread hat offenbar persönliche Daten von bis zu 37 Millionen Kunden ungeschützt im Netz gehabt. (Bild: Pxhere/Golem.de/CC0 1.0)

Die amerikanische Bäckerei-Café-Kette Panera Bred hat offenbar monatelang persönliche Daten von Millionen Kunden offen im Netz stehen lassen. Von dem Leak betroffen sein sollen neben den Namen und Postadressen der Kunden auch E-Mail-Adressen, Geburtsdaten sowie die jeweils letzten vier Ziffern der Kreditkartennummern. Diese Informationen reichen in vielen Fällen aus, um sich gegenüber anderen Kundendiensten am Telefon als jemand Fremdes auszugeben und so beispielsweise einen Passwort-Reset oder das Zusenden einer neue Kundenkarte zu erreichen.

  • Nach dem Bericht von Brian Krebs ging die Webseite von Panera Bread offenbar schnell offline (Quelle: KrebsOnSecurity)
  • Erster E-Mail-Austausch zwischen Dylan Houlihan und Panera Bread (Quelle: Dylan Houlihan).
  • Screenshot der Kundendaten, die auf der Webseite von Panera Bread offenbar offen zugänglich waren (Quelle: KrebsOnSecurity).
Screenshot der Kundendaten, die auf der Webseite von Panera Bread offenbar offen zugänglich waren (Quelle: KrebsOnSecurity).

Bereits im August 2017 hat der Forscher Dylan Houlihan, der die Schwachstelle eher zufällig entdeckte, eigenen Angaben zufolge Panera Bread über das Problem informiert. Obwohl das Unternehmen das Datenleck bestätigte, blieb es trotz wiederholter Nachfrage durch Houlihan offenbar monatelang ungepatcht. Bis sich Houlihan an den Sicherheitsexperten Brian Krebs wandte, der die Sache am Montag publik machte.

Gepatcht und doch nicht gepatcht

Nach der Veröffentlichung durch Krebs sei die Webseite panerabread.com schnell komplett offline gegangen. Es dauerte aber demnach nur wenige Stunden bis das Unternehmen meldete: "Problem behoben", und die Seite wieder online ging. Gleichzeitig ging Panera mit der Behauptung an die amerikanische Presse, das Unternehmen nehme "Datenschutz sehr ernst" und habe das Problem gelöst. Es seien lediglich 10.000 Kundenkonten betroffen gewesen.

  • Nach dem Bericht von Brian Krebs ging die Webseite von Panera Bread offenbar schnell offline (Quelle: KrebsOnSecurity)
  • Erster E-Mail-Austausch zwischen Dylan Houlihan und Panera Bread (Quelle: Dylan Houlihan).
  • Screenshot der Kundendaten, die auf der Webseite von Panera Bread offenbar offen zugänglich waren (Quelle: KrebsOnSecurity).
Nach dem Bericht von Brian Krebs ging die Webseite von Panera Bread offenbar schnell offline (Quelle: KrebsOnSecurity)

Dass das augenscheinlich nicht der Fall war, bestätigten kurz darauf weitere Experten. Offenbar hatte Panera versucht, das Problem dadurch zu lösen, die offenen Angriffsvektoren mit einer Loginseite zu schützen, die einen gültigen Kundenkonto voraussetzt. Hinter dem Login sei der Zugriff auf die Gänze der Kundendaten aber weiterhin möglich. Seit dieser neuerlichen Veröffentlichung ging Paneras Onlineshop wieder komplett offline.

Fehlende Kanäle, unangemessene Reaktion

Fast schockierender als das Datenleck selbst erscheint jedoch die Art und Weise, wie Panera Bread auf die Meldung der Lücke durch Houlihan reagierte. Seinem Blogpost zufolge war es nicht leicht, bei Panera überhaupt mit einem Verantwortlichen in Kontakt zu treten. Die generische E-Mail-Adresse security[æt]panerabread.com habe mit einem Bounce geantwortet.

Als der Kontakt über Dritte schließlich gelang, habe ihm Paneras IT-Sicherheitschef zuerst nicht glauben wollen, dass es sich um ein echtes Sicherheitsproblem handelt. In seiner ersten Antwort habe er Houlihan stattdessen beschuldigt ein Scammer zu sein oder einen versteckten Salespitch zu versuchen: "Mein Team hat Ihre E-Mails erhalten, sie wirkten aber sehr verdächtig und wurden daher ignoriert. Wenn das eine Verkaufstaktik sein soll, empfehle ich dringend einen besseren Ansatz, denn nach einem PGP-Schlüssel zu fragen, wäre kein guter Start für einen Pitch."

  • Nach dem Bericht von Brian Krebs ging die Webseite von Panera Bread offenbar schnell offline (Quelle: KrebsOnSecurity)
  • Erster E-Mail-Austausch zwischen Dylan Houlihan und Panera Bread (Quelle: Dylan Houlihan).
  • Screenshot der Kundendaten, die auf der Webseite von Panera Bread offenbar offen zugänglich waren (Quelle: KrebsOnSecurity).
Erster E-Mail-Austausch zwischen Dylan Houlihan und Panera Bread (Quelle: Dylan Houlihan).

Der gesamte E-Mail-Austausch zwischen Houlihan und Panera Bread (auf Englisch) ist durchaus lesenswert und an sich schon skandalträchtig. Trotz der Schwierigkeiten, der erfolglosen Patches, des fehlenden Dankeschöns und des rüden Umgangstons durch Paneras IT-Sicherheitschef betont Houlihan jedoch, dass Panera nicht das einzige Unternehmen mit einer so problematischen Datensicherheitskultur sei.

"Dieses Problem besteht nicht nur bei einer einzelnen Art von Firma. So etwas ist schon früher passiert und es wird auch wieder passieren", schreibt Houlihan. "Es ist einfach, mit dem Finger auf eine einzelne Person zu zeigen, aber solche Leute kommen nur in ihre Position (des IT-Sicherheitschefs, Anm.d.R.), weil ihr Verhalten grundsätzlich mit der Kultur und den Prioritäten eines Unternehmens kompatibel ist."

Der wichtigste Schritt für Unternehmen sei es, einen einfachen Prozess zu entwickeln, mit dem Sicherheitslücken gemeldet werden könnten, ohne dass die Entdecker sich vor den Konsequenzen fürchten müssen. Dass Paneras IT-Sicherheitschef laut seinem Linkedin-Profil zwischen 2009 und 2013 als Senior Director für Security Operations bei Equifax tätig war, zeigt aber dann doch irgendwie wieder mit dem Finger in Richtung einer Person.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Soziale Netzwerke
Datenschlampereien mit HIV-Status und Videodateien
artikel-bild
Datenschutz
Facebook plant zentrale Privatsphäre-Einstellungen
artikel-bild
Cambridge Analytica
Daten von 136.000 US-Bürgern noch immer im Umlauf
Meistgelesen
artikel-bild
Elektromobilität
Nach 20 Jahren steht Tesla vor dem Absturz
artikel-bild
Kapazitätsengpässe
Oranienburg erlaubt keine neuen Hausanschlüsse mehr
artikel-bild
Star Wars Outlaws
Spieler sauer wegen Jabbas Schachzug
Kommentarübersicht
Re: Warum haben die überhaupt Kundendaten?
amagol 05. Apr 2018

Mit Kreditkate zahlen ist ja nicht das Problem. Aber warum muss Panera das ueberhaupt...

Re: Amerikanische Zeitungen
Pornstar 04. Apr 2018

Wie bitte? Fox news ist der Sender der die meisten Amerikaner erreicht.

Re: Kundenkarte für den Bäcker, lol
telecaster 04. Apr 2018

Hab ich mir auch gerade gedacht. Wie schnell Millionen von Menschen bereit sind für ein...

Oh ja Equifax (der US-Clone der Schufa)
mars96 03. Apr 2018

John Oliver hatte die vor rund einem Halben Jahr wegen des letzten Sicherheitsproblems im...

Aktuell auf der Startseite von Golem.de
Kapazitätsengpässe
Oranienburg erlaubt keine neuen Hausanschlüsse mehr

Der Strombedarf in Oranienburg ist zu hoch für neue Verbraucher geworden. Ein neues Umspannwerk kommt zu spät für neue Wärmepumpen und Wallboxen.

Kapazitätsengpässe: Oranienburg erlaubt keine neuen Hausanschlüsse mehr
Artikel
  1. Star Wars Outlaws: Spieler sauer wegen Jabbas Schachzug
    Star Wars Outlaws
    Spieler sauer wegen Jabbas Schachzug

    Ein Einsatz für Jabba in den ziemlich teuren Spezialeditionen von Star Wars Outlaws: Damit sorgt Ubisoft bei Spielern für Empörung.

  2. Von Zero zu ISO 27001 - der Weg zum ISMS-Profi
     
    Von Zero zu ISO 27001 - der Weg zum ISMS-Profi

    Dieses Grundlagenseminar vermittelt die essenziellen Kenntnisse zum Managen der Informationssicherheit gemäß ISO/IEC-27001. Ideal zur Vorbereitung auf die offizielle Zertifizierung und inklusive abschließender Prüfung.
    Sponsored Post von Golem Karrierewelt

  3. Microsoft: Copilot-App in Windows sammelt keine Benutzerdaten
    Microsoft
    Copilot-App in Windows sammelt keine Benutzerdaten

    Microsoft hat Bedenken von Administratoren bezüglich des unerwarteten Auftretens einer Copilot-Anwendung auf Windows-Systemen ausgeräumt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • AVM Heizkörperregler zum Tiefstpreis • Limitierter Sennheiser-Kopfhörer günstiger! • MindStar: Gigabyte RTX 4070 Super Gaming OC 649€ - günstig wie nie! • Switch-Spar-Sets • HP Omen 16.1" FHD/144 Hz, Ryzen 7 6800H, RTX 3070 Ti -52% • Alternate: Notebook- und Super-Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /