McDonald’s lekib võitjatele monopoli VIP-andmebaasi volikirja
Populaarne kiirtoidukett McDonald's saatis kogemata välja rohkem teavet, kui peaks – koos tasuta friikartulite kupongidega sisaldasid meilid ka tema Monopoly VIP-mänguga seotud andmebaasi paroole.
Monopoly UK VIP-mäng algas augusti lõpus. Hiljutine e-kirjade kokkuvõte, mis sisaldas võitjatele erinevaid auhindu, sisaldas aga palju enamat kui ainult auhinnakuponge.
Selle vea tabas ja juhtis sellele tähelepanu teadlane nimega Troy Hunt koos mõne võitjaga, kes olid tegelikult tehnikatundlikud ja teadsid, mida nad said. Kui volikirjad oleksid sattunud "valedesse kätesse", siis oleks ekspertide sõnul toimunud massiline petmine ja mängijate väljapetmine.
McDonaldsi sõnul muutsid nad aga kohe serveri paroolid ära kohe, kui hooletusest neile teatati.
Symmetry Systemsi tegevjuht Mohit Tiwari teatas Threatpostile tehtud avalduses, et inimese tehtud viga on äärmiselt raske leevendada. Sellised intsidendid peaksid saama organisatsioonidel tuvastada ja lukustada suuri klientide andmeid.
Tiwari ütles veel:
"Kaasaegsed andmesalve turbetooted toovad andmetele null-usalduspõhimõtted, tagades, et pole ühtegi tõrkepunkti ja et riskipõhised kontrollid jälgivad iga juurdepääsu kroonijuveeli andmetele."
McDonald's Monopoly VIP-serveri mandaatide vahejuhtum
McDonald's Monopoly VIP on üsna vana traditsioon, mis sai alguse 1987. aastal. Selle käigus ostavad kliendid McDonaldsist esemeid, koguvad pileteid ja sisestavad auhindade lunastamiseks nende piletite koodid McDonaldsi veebisaidile.
Kuna selle aasta Monopoly VIP-mäng kestab 19. oktoobrini, teatas ettevõtte mänguleht:
„Auhindade võitmiseks koguge ja komplekteerige varakomplekte! Kui olete komplekti valmis saanud, külastage võitnud mängutükile trükitud veebisaidi aadressi ja sisestage auhinna kättesaamiseks kõik atribuutide koodid.
6 septembril säutsus Austraalia veebiturbe konsultant Hunt aga ekraanipildi e-kirjast, mis saadeti auhinna võitjale koos andmebaasi paroolidega ja mille pealdis oli:
"Ärge kunagi usaldage klouni oma ühenduse stringide kaitsmiseks."
Mitte ainult see, vaid ka teine McDonald'si Monopoly VIP-mängu võitja, kelle kasutajanimi oli "cretorsphereco", postitas TikToki video pealkirjaga: "Ma ei taha neid, palun vastake meilidele McD," selgitas ta mandaadi leket ja mainis veel:
“Praegu on mul kuningriigi võtmed. Ja ma ei taha neid."
Pärast Hunti säutsu võttis McDonald's selle vastu meetmeid, mille tagas Hunti järgnev säuts, mis ütles:
McDonald's tunnistas mandaatide leket 7. septembril, nagu mainiti BleepingComputerile saadetud avalduses. Kiirtoidukett ütles veel:
„Haldusvea tõttu said vähesed kliendid e-posti teel lavastusliku veebisaidi üksikasjad. Isikuandmeid ei ohustatud ega jagatud teiste osapooltega. Mõjutatud isikutega võetakse ühendust, et kinnitada neile, et tegemist oli inimliku eksitusega ja nende teave on endiselt turvaline. Suhtume andmete privaatsusse väga tõsiselt ja vabandame selle vea tekitatud liigse mure pärast.
Inimlik viga ja kliendiandmete turvamine
KnowBe4 turvateadlikkuse eestkõneleja Javvad Maliku sõnul on sellised vead suureks ohuks kõigile organisatsioonidele. Edasi jätkas ta:
"Mcdonald's väitis, et see leke oli tingitud inimlikust veast – mis on palju tavalisem juhtum, kui arvata võib. Seetõttu on oluline, et kõik organisatsioonid võtaksid meetmeid inimlike vigade põhjustatud riski vähendamiseks. See hõlmab protsesse, mis hõlmavad kontrolle, et ükski teenus ei töötaks või ei tehtaks muudatusi ilma turvatagatiseta (nt läbitungimistestid).
Ta mainis, et kõik need kontrollid aitavad luua turvateadlikkuse harjumust.
Kasutajate jaoks koolitatud küberturvalisuse spetsialistid peaksid esmalt konkreetselt lukustama kõik tarbijaandmed, mis on tõepoolest kõigi küberkurjategijate jaoks mahlane sihtmärk, ütles Symmetry Systemsi tegevjuht Mohid Tiwari.
"Selliste vigade vastus on rakenduse turvalisuse kahekordistamine, kuid sadade miljonite koodiridade täiuslik turvamine on võimatu küsida ja teha pinnatasemel koodi skannimist ("AppSec") või küsida tarkvara materjalide arve (SBOM) on äärmiselt madala finantsvõimendusega tegevused, " teatas ta. "Antud juhul võivad andmete kaitsed tagada, et isegi kui ründajad teavad andmebaasi asukohta/IP-d, kasutajanime ja parooli, ei saa nad neid kasutada – kuna juurdepääs andmesalvele on piiratud konkreetsete rakenduste rollidega, IAM-i ja pilve- võrgu perimeetrid jne.
Lõpuks mainis ta, et andmete turvatööriistad võivad täiendavalt jälgida ja jälgida, kuidas erinevad rakendused andmeid saavad.
Tõtt-öelda pole see esimene kord, kui ükski suurettevõte on andmete segamises osalenud. Andmerikkumised on puudutanud kõiki tööstusharusid, mille on põhjustanud nad ise või teatud ohus osalejad. Alates Microsofti sekkumisest e-kirjade häkkimiseni kuni T-Mobile'i klientide tundliku teabe ohtu seadmiseni – juhuslikud andmelekked keerlevad kõikjal.
Seetõttu peavad ettevõtted tagama, et kõik nende eelkõige tarbijatega seotud andmed oleksid ohutult salvestatud. Nad peavad veelgi lihvima oma küberjulgeoleku tavasid, et hoiduda andmetega seotud rikkumistest.