Die beliebte Fast-Food-Kette McDonald's verschickte versehentlich mehr Informationen als sie sollten – neben Coupons für kostenlose Pommes enthielten die E-Mails auch Passwörter einer Datenbank, die mit ihrem Monopoly-VIP-Spiel verbunden war.
Das VIP-Spiel von Monopoly UK begann Ende August. Eine kürzliche Zusammenfassung von E-Mails mit verschiedenen Preisen für Gewinner enthielt jedoch viel mehr als nur die Preisgutscheine.
Der Fehler wurde von einem Forscher namens Troy Hunt entdeckt und zur Kenntnis gebracht, zusammen mit einigen Gewinnern, die tatsächlich technisch versiert waren und wussten, was sie erhielten. Wenn die Zugangsdaten in „die falschen Hände” geraten wären, hätte es laut Experten Betrug und Abzocke von Spielern im großen Stil gegeben.
Laut McDonald's änderten sie jedoch sofort die Passwörter des Servers, sobald ihnen die Fahrlässigkeit mitgeteilt wurde.
Mohit Tiwari, der CEO von Symmetry Systems, erklärte in einer Erklärung gegenüber Threatpost, dass ein menschlicher Fehler nur sehr schwer zu beheben sei. Vorfälle wie diese sollten für Unternehmen zu einer Herausforderung werden, um große Datenmengen von Kunden zu identifizieren und zu sperren.
Tiwari sagte weiter:
„Moderne Sicherheitsprodukte für Datenspeicher bringen Zero-Trust-Prinzipien in Daten und stellen sicher, dass es keinen einzigen Fehlerpunkt gibt und dass risikobasierte Kontrollen jeden Zugriff auf Kronjuwelendaten überwachen.”
McDonald's Monopoly VIP-Server-Anmeldeinformationen Vorfall
McDonald's Monopoly VIP ist eine ziemlich alte Tradition, die 1987 ins Leben gerufen wurde. Dabei kaufen Kunden Artikel bei McDonald's, sammeln Tickets und geben die Codes dieser Tickets auf der McDonald's-Website ein, um Preise einzulösen.
Da das diesjährige Monopoly-VIP-Spiel bis zum 19. Oktober läuft, heißt es auf der Spieleseite des Unternehmens:
„Sammle und vervollständige Eigenschaftssets, um Preise zu gewinnen! Sobald Sie ein Set fertiggestellt haben, besuchen Sie die Website-Adresse, die auf dem gewinnenden Spielstück aufgedruckt ist, und geben Sie alle Eigentumscodes ein, um Ihren Preis zu erhalten.”
Am 6. September twitterte der australische Web-Sicherheitsberater Hunt jedoch einen Screenshot der E-Mail, die an einen Preisträger mit Datenbankpasswörtern gesendet wurde, und beschriftete:
„Vertraue niemals einem Clown, um deine Verbindungsschnüre zu sichern.”
Nicht nur das, sondern ein weiterer Gewinner des McDonald's-Monopoly-VIP-Spiels mit dem Benutzernamen „cretorsphereco” hat ein TikTok-Video mit dem Titel gepostet: „ Ich möchte diese nicht .
„Derzeit habe ich die Schlüssel zum Königreich. Und ich will sie nicht.”
Nach Hunts Tweet ging McDonald's dagegen vor, was durch einen Folge-Tweet von Hunt sichergestellt wurde, in dem es hieß:
Wie in einer Erklärung gegenüber BleepingComputer erwähnt, bestätigte McDonald's das Leck der Anmeldedaten am 7. September. Die Fast-Food-Kette sagte weiter:
„Aufgrund eines Verwaltungsfehlers erhielt eine kleine Anzahl von Kunden Details für eine Staging-Website per E-Mail. Es wurden keine persönlichen Daten kompromittiert oder mit anderen Parteien geteilt. Die Betroffenen werden kontaktiert, um ihnen zu versichern, dass dies ein menschlicher Fehler war und dass ihre Informationen sicher bleiben. Wir nehmen den Datenschutz sehr ernst und entschuldigen uns für alle unangemessenen Bedenken, die dieser Fehler verursacht hat.”
Menschliches Versagen und Sicherung von Kundendaten
Laut Javvad Malik, einem Verfechter des Sicherheitsbewusstseins bei KnowBe4, sind Fehler wie diese eine große Bedrohung für alle Unternehmen. Er fuhr weiter fort:
„Mcdonald's gab an, dass dieses Leck auf menschliches Versagen zurückzuführen war – was weitaus häufiger vorkommt, als man vielleicht denkt. Aus diesem Grund ist es wichtig, dass alle Unternehmen Maßnahmen ergreifen, um das Risiko menschlicher Fehler zu verringern. Dazu gehören Prozesse, die Prüfungen beinhalten, damit kein Dienst live geht oder keine Änderungen ohne Sicherheitsgarantie wie Penetrationstests vorgenommen werden.”
Er erwähnte, dass all diese Untersuchungen dazu beitragen würden , ein Sicherheitsbewusstsein zur Gewohnheit zu machen .
Für Benutzer geschulte Cybersicherheitsprofis sollten zunächst alle Verbraucherdaten gezielt sperren, was in der Tat ein lohnendes Ziel für alle Cyberkriminellen ist, sagte Mohid Tiwari, CEO von Symmetry Systems.
„Die reflexartige Reaktion auf solche Fehler besteht darin, die Anwendungssicherheit zu verdoppeln – aber Hunderte Millionen Codezeilen perfekt zu sichern, ist eine unmögliche Aufgabe, und Code-Scans auf Oberflächenebene (‘AppSec') durchzuführen oder nach Software-Stücklisten zu fragen (SBOM) sind Aktivitäten mit extrem geringer Hebelwirkung”, erklärte er weiter. „In diesem Fall kann der Schutz von Daten sicherstellen, dass Angreifer, selbst wenn sie den Speicherort/die IP-Adresse der Datenbank, den Benutzernamen und das Passwort kennen, diese nicht verwenden können – da der Zugriff auf den Datenspeicher auf bestimmte Anwendungsrollen, IAM und Cloud beschränkt ist. Netzwerkperimeter usw.”
Abschließend erwähnte er, dass Sicherheitstools für Daten weiter beobachten und überwachen könnten, wie verschiedene Anwendungen Daten erhalten.
Um ehrlich zu sein, ist dies nicht das erste Mal, dass ein großes Unternehmen in einen Datenfehler verwickelt ist. Datenschutzverletzungen haben jede Branche berührt, die entweder von ihnen selbst oder von bestimmten Bedrohungsakteuren verursacht wurde. Von Microsoft, das in einen E-Mail-Hack verwickelt wird, bis hin zu T-Mobile, das die vertraulichen Informationen seiner Kunden gefährdet, gibt es überall versehentliche Datenlecks.
Aus diesem Grund müssen Unternehmen sicherstellen, dass alle ihre Daten, insbesondere in Bezug auf Verbraucher, sicher gespeichert werden. Außerdem müssen sie ihre Cybersicherheitspraktiken verbessern, um Datenschutzverletzungen zu vermeiden.