...
🧠 El blog está dedicado al tema de VPN y seguridad, privacidad de datos en Internet. Hablamos de tendencias actuales y noticias relacionadas con la protección.
GeneralMisceláneasNoticias

McDonald’s filtra la credencial para la base de datos VIP de Monopoly a los ganadores

14
Contenido
Incidente de credenciales del servidor VIP Monopoly de McDonald's
Error humano y protección de los datos del cliente

La popular cadena de comida rápida McDonald's envió accidentalmente más información de la que debería; junto con cupones para papas fritas gratis, los correos electrónicos también incluían contraseñas de una base de datos asociada con su juego Monopoly VIP.

El juego VIP Monopoly UK comenzó a fines de agosto. Sin embargo, un resumen reciente de correos electrónicos que contenían varios premios para los ganadores incluía mucho más que solo los cupones de premios.

El error fue descubierto y llamado a la atención por un investigador llamado Troy Hunt, junto con algunos ganadores que en realidad eran expertos en tecnología y sabían lo que recibían. Según los expertos, si las credenciales hubieran caído en "las manos equivocadas", habría habido trampas y estafas a los jugadores a gran escala. 

Sin embargo, según McDonald's, inmediatamente cambiaron las contraseñas del servidor tan pronto como se les notificó la negligencia.

Mohit Tiwari, el CEO de Symmetry Systems, declaró en un comunicado a Threatpost que un error cometido por un humano es extremadamente difícil de paliar. Incidentes como estos deberían convertirse en una oportunidad para que las organizaciones identifiquen y bloqueen grandes cantidades de datos de los clientes.

Tiwari dijo además:

“Los productos modernos de seguridad para el almacenamiento de datos aportan principios de confianza cero a los datos, lo que garantiza que no haya un punto de falla y que los controles basados ​​en el riesgo controlen cada acceso a los datos de la joya de la corona".

Incidente de credenciales del servidor VIP Monopoly de McDonald's

McDonald's Monopoly VIP es una tradición bastante antigua que se inició en 1987. En ella, los clientes compran artículos de McDonald's, recogen boletos e insertan los códigos de esos boletos en el sitio web de McDonald's para canjear premios.

Dado que el juego Monopoly VIP de este año estará disponible hasta el 19 de octubre, el sitio de juegos de la compañía dijo:

“¡Colecciona y completa conjuntos de propiedades para ganar premios! Una vez que haya completado un juego, visite la dirección del sitio web impresa en la pieza ganadora del juego e ingrese todos los códigos de propiedad para reclamar su premio.

Sin embargo, el 6 de septiembre, el consultor de seguridad web australiano Hunt tuiteó una captura de pantalla del correo electrónico que se envió al ganador del premio con las contraseñas de la base de datos y subtitulado:

“Nunca confíes en un payaso para asegurar tus cadenas de conexión”.

No solo esto, sino que otro ganador del juego VIP Monopoly de McDonald's, con el nombre de usuario "cretorsphereco", publicó un video de TikTok con el título: "No quiero estos, responda los correos electrónicos McD". Explicó la filtración de credenciales y mencionó además:

“Actualmente tengo las llaves del reino. Y no los quiero.

Después del tuit de Hunt, McDonald's tomó medidas en su contra, lo cual fue garantizado por un tuit de seguimiento de Hunt que decía:

McDonald's reconoció la filtración de credenciales el 7 de septiembre, como se mencionó en un comunicado a BleepingComputer. La cadena de comida rápida dijo además:

“Debido a un error administrativo, un pequeño número de clientes recibió detalles de un sitio web provisional por correo electrónico. Ningún dato personal fue comprometido o compartido con otras partes. Se contactará a los afectados para asegurarles que se trató de un error humano y que su información permanece segura. Nos tomamos muy en serio la privacidad de los datos y nos disculpamos por cualquier preocupación indebida que haya causado este error”.

Error humano y protección de los datos del cliente

Según Javvad Malik, un defensor de la conciencia de seguridad de KnowBe4, errores como estos son una gran amenaza para todas las organizaciones. Continuó además:

“Mcdonald's declaró que esta filtración se debió a un error humano, que es un hecho mucho más común de lo que uno piensa. Por eso es importante que todas las organizaciones tomen medidas para reducir el riesgo que representa el error humano. Esto incluye tener procesos que impliquen verificaciones para que ningún servicio se active o no se realicen cambios sin garantía de seguridad, como las pruebas de penetración”.

Mencionó que todos estos chequeos ayudarían a crear un hábito de conciencia de seguridad.

Los profesionales de la ciberseguridad capacitados para los usuarios primero deben bloquear específicamente todos los datos de los consumidores, que de hecho es un objetivo jugoso para todos los ciberdelincuentes, dijo Mohid Tiwari, director ejecutivo de Symmetry Systems.

“La respuesta instintiva a tales errores es duplicar la seguridad de la aplicación, pero asegurar perfectamente cientos de millones de líneas de código es una tarea imposible y hacer escaneos de código a nivel de superficie (‘AppSec') o solicitar una lista de materiales de software (SBOM) son actividades de apalancamiento extremadamente bajo”, declaró además. “En este caso, las protecciones en torno a los datos pueden garantizar que, incluso si los atacantes conocen la ubicación/IP de la base de datos, el nombre de usuario y la contraseña, no podrán usarlos, ya que el acceso al almacén de datos se limita a roles específicos de aplicaciones, IAM y nube. perímetros de red, etc.”

Por último, mencionó que las herramientas de seguridad de datos podrían seguir observando y monitoreando cómo varias aplicaciones obtienen datos.

A decir verdad, esta no es la primera vez que una gran empresa se ve involucrada en un error de datos. Las violaciones de datos han afectado a todas las industrias, ya sea causadas por ellos mismos o por ciertos actores de amenazas. Desde que Microsoft se involucró en un ataque de correo electrónico hasta que T-Mobile puso en peligro la información confidencial de sus clientes, las filtraciones accidentales de datos están en todas partes.

Esta es la razón por la que las empresas deben asegurarse de que todos sus datos, especialmente los relacionados con los consumidores, se almacenen de forma segura. Además, necesitan pulir sus prácticas de ciberseguridad para mantenerse alejados de las filtraciones de datos.

También podría gustarte Más del autor
Más historias

PIA VPN Reddit – (Comentarios auténticos de…

Cómo instalar el acceso privado a Internet en Kodi…

Cómo cancelar ipVanish y obtener un reembolso [Guía…

1 De 445

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More