アダルトナイトクラブ大手のRCI Hospitality Holdingsは月曜日、機密個人情報を露出させたサイバーセキュリティインシデントを公開した。
SECへの提出書類によると、同社のRCI Internet Services子会社は3月23日、IISウェブサーバーの安全でない直接オブジェクト参照(IDOR)脆弱性が個人情報へのアクセスを許可していることを発見した。
今月上旬に完了した調査により、このインシデントは3月19日に始まったことが示された。
同社は、データ漏洩に名前、生年月日、連絡先情報、SSN、運転免許証番号を含む「多数の」独立した請負業者の情報への不正アクセスが関わっていたと述べた。
「同社の知識では、不正行為者はデータを公開していない」とRCIはSECに語った。「顧客情報および財務システムにはアクセスされていない。」
同社はまた、事業運営は影響を受けておらず、このインシデントが重大な影響を与えるとは考えていないと述べた。
インシデントによって何人の個人が影響を受けたかは不明だが、RCI Hospitalityは米国最大級のアダルトナイトクラブオペレーターの一つであり、数十の拠点を有している。同社はRick’sやTootsie’sなどのブランドを所有し、ポートフォリオにはスポーツバーとダンスクラブも含まれている。
IDOR脆弱性により、攻撃者はウェブリンクやリクエスト内の値を変更することで、単にデータにアクセスできる。これは、ウェブサイトが識別子(アカウント番号やファイル名など)を使用してレコードを取得するが、リクエストしているユーザーが必要な権限を持っているかどうかを確認しない場合に発生する。例えば、「account=101」にログインしているユーザーはURLを「account=102」に変更して、別の人の機密情報にアクセスできる可能性がある。
RCI Hospitalityへの攻撃の責任を主張する既知のサイバー犯罪グループは見当たらない。
RCIはこのインシデントを「不正アクセス」と説明しているが、セキュリティ研究者が実施した活動に関連している可能性はわずかにある。
IDOR脆弱性は、悪意のある行為者がデータにアクセスするために悪用されているが、セキュリティ研究者によるIDOR対応アクセスを「不正アクセス」とラベル付けした組織のケースも数件存在しており、ほとんどは脆弱性の開示が争点となったり対応が不十分だった場合である。
SecurityWeekは説明を求めて同社に連絡を取っており、対応があればこの記事を更新する予定である。
翻訳元: https://www.securityweek.com/nightclub-giant-rci-hospitality-reports-data-breach/
