あるセキュリティ研究者が 9 ヶ月以上も前に、Panera Bread の Web サイトに脆弱性が存在することを発見しました。その研究者は、責任ある方法で適切な窓口に脆弱性を報告しようとしましたが、詐欺師であると判断されたため、最終的には第三者に脆弱性が報告されることになりました。発見から 8 ヶ月経過しても同社はデータ漏えいにつながるそれらの脆弱性を修正していませんでしたが、この事実を知った Brian Krebs 氏が公表したことで、それらの脆弱性が公になりました。この事件からわかるのは、外部に公開すると圧力をかけない限り、「我々はセキュリティを重視しています」と対外的に宣伝していても、実際にはそうではないベンダもいることがわかります。この情報セキュリティのドラマの詳細と、責任ある方法での公開についての私の意見を、以下のビデオでご確認ください。

エピソードビデオの長さ： 6:19

YouTube へのダイレクトリンク：https://www.youtube.com/watch?v=HGGU8y2L1mw

• Panera Bread から数百万人の顧客レコードが流出 – Krebs on Security
• この脆弱性を最初に発見した研究者による、開示プロセスに関する記事 – Medium

－ Corey Nachreiner, CISSP （@SecAdept）