2018/04/11

脆弱性の報告に対する不適切な対応 – デイリーセキュリティバイト

鍵 キー アンロック 侵入 漏洩 データ 流出 サイバー攻撃
2018 年 4 月 11 日 Corey Nachreiner 著

あるセキュリティ研究者が 9 ヶ月以上も前に、Panera Bread の Web サイトに脆弱性が存在することを発見しました。その研究者は、責任ある方法で適切な窓口に脆弱性を報告しようとしましたが、詐欺師であると判断されたため、最終的には第三者に脆弱性が報告されることになりました。発見から 8 ヶ月経過しても同社はデータ漏えいにつながるそれらの脆弱性を修正していませんでしたが、この事実を知った Brian Krebs 氏が公表したことで、それらの脆弱性が公になりました。この事件からわかるのは、外部に公開すると圧力をかけない限り、「我々はセキュリティを重視しています」と対外的に宣伝していても、実際にはそうではないベンダもいることがわかります。この情報セキュリティのドラマの詳細と、責任ある方法での公開についての私の意見を、以下のビデオでご確認ください。

エピソードビデオの長さ: 6:19

YouTube へのダイレクトリンク:https://www.youtube.com/watch?v=HGGU8y2L1mw

Corey Nachreiner, CISSP@SecAdept

Amazon をかたるフィッシングにご注意ください (2018/12/13)