McDonald’s vuotaa Monopoly VIP -tietokannan valtakirjat voittajille
Suosittu pikaruokaketju McDonald's lähetti vahingossa enemmän tietoa kuin olisi pitänyt – ilmaisten perunoiden kuponkien ohella sähköpostit sisälsivät myös Monopoly VIP -peliin liittyvän tietokannan salasanat.
Monopoly UK VIP -peli alkoi elokuun lopulla. Äskettäin lähetetty sähköpostipaketti, joka sisälsi erilaisia palkintoja voittajille, sisälsi kuitenkin paljon muutakin kuin vain palkintokuponkeja.
Troy Hunt -niminen tutkija ja muutama voittaja, jotka olivat todella tekniikkataitoja ja tiesivät, mitä he saivat, havaitsivat ja kiinnittivät sen huomion. Asiantuntijoiden mukaan jos valtakirjat olisivat joutuneet "vääriin käsiin", huijauksia ja pelaajien huijauksia olisi tapahtunut massiivisessa mittakaavassa.
McDonald'sin mukaan he kuitenkin muuttivat palvelimen salasanat heti, kun laiminlyönnistä ilmoitettiin heille.
Symmetry Systemsin toimitusjohtaja Mohit Tiwari julisti Threatpostille antamassaan lausunnossa, että ihmisen tekemä virhe on erittäin vaikea lievittää. Tällaisten tapausten pitäisi tulla organisaatioille, jotka voivat tunnistaa ja lukita suuria asiakastietoja.
Tiwari sanoi edelleen:
"Nykyaikaiset tietosäilöjen tietoturvatuotteet tuovat nollaluottamusperiaatteet tietoihin ja varmistavat, että ei ole yhtä vikakohtaa ja että riskiin perustuva valvonta valvoo jokaista pääsyä kruununjalokividataan."
McDonald's Monopoly VIP -palvelimen valtuustietotapahtuma
McDonald's Monopoly VIP on melko vanha perinne, joka sai alkunsa vuonna 1987. Tässä asiakkaat ostavat tuotteita McDonald'sista, keräävät lippuja ja lisäävät lippujen koodit McDonald'sin verkkosivuille lunastaakseen palkintoja.
Koska tämän vuoden Monopoly VIP -peli on käynnissä 19. lokakuuta asti, yrityksen pelisivusto sanoi:
"Kerää ja täydennä omaisuussarjoja voittaaksesi palkintoja! Kun olet saanut setin valmiiksi, vieraile voittaneeseen pelikappaleeseen painetussa verkkosivustossa ja syötä kaikki omaisuuskoodit lunastaaksesi palkintosi."
Kuitenkin 6. syyskuuta australialainen verkkoturvakonsultti Hunt twiittasi kuvakaappauksen sähköpostista, joka lähetettiin palkinnon voittajalle tietokannan salasanoilla ja jossa oli teksti:
"Älä koskaan luota klovniin suojaamaan yhteysjonojasi."
Ei vain tämä, vaan toinen McDonald's Monopoly VIP -pelin voittaja, jonka käyttäjätunnus on "cretorsphereco", julkaisi TikTok-videon otsikolla: "En halua näitä, vastaa sähköpostiin McD", hän selitti valtuustietovuodon ja mainitsi edelleen:
"Tällä hetkellä minulla on valtakunnan avaimet. Ja minä en halua niitä."
Huntin twiitin jälkeen McDonald's ryhtyi toimiin sitä vastaan, minkä varmisti Huntin seurantatviitti, jossa sanottiin:
McDonald's myönsi valtuustietovuodon 7. syyskuuta, kuten BleepingComputerille antamassaan lausunnossa mainittiin. Pikaruokaketju sanoi edelleen:
“Hallinnollisen virheen vuoksi pieni osa asiakkaista sai sähköpostitse tiedot lavastussivustosta. Mitään henkilötietoja ei vaarantunut tai jaettu muille osapuolille. Asiantuntijoihin otetaan yhteyttä vakuuttaaksemme heille, että kyseessä oli inhimillinen virhe ja että heidän tietonsa ovat turvassa. Otamme tietosuojan erittäin vakavasti ja pahoittelemme tämän virheen aiheuttamaa aiheetonta huolta."
Inhimillinen virhe ja asiakastietojen suojaaminen
KnowBe4: n tietoturvatietoisuuden puolestapuhuja Javvad Malikin mukaan tällaiset virheet ovat suuri uhka kaikille organisaatioille. Hän jatkoi edelleen:
"Mcdonald's totesi, että tämä vuoto johtui inhimillisestä erehdyksestä – mikä on paljon yleisempää kuin luullaan. Siksi on tärkeää, että kaikki organisaatiot ryhtyvät toimiin inhimillisten virheiden aiheuttaman riskin vähentämiseksi. Tämä sisältää prosessit, jotka sisältävät tarkistuksia, jotta mikään palvelu ei käynnisty tai muutoksia ei tehdä ilman turvatakuuta, kuten penetraatiotestausta."
Hän mainitsi, että kaikki nämä tarkastukset auttaisivat luomaan turvatietoisuuden tavan.
Käyttäjille koulutettujen kyberturvaammattilaisten tulisi ensin erityisesti lukita kaikki kuluttajatiedot, mikä on todellakin mehukas kohde kaikille kyberrikollisille, Symmetry Systemsin toimitusjohtaja Mohid Tiwari sanoi.
"Tällaisten virheiden äkillinen vastaus on sovelluksen tietoturvan tuplaaminen – mutta satojen miljoonien koodirivien täydellinen turvaaminen on mahdotonta kysyä ja tehdä pintatason koodiskannauksia ("AppSec") tai pyytää ohjelmistojen materiaalilaskua (SBOM) ovat erittäin alhaisen vipuvaikutuksen toimintoja", hän totesi edelleen. "Tässä tapauksessa tietojen ympärillä olevat suojaukset voivat varmistaa, että vaikka hyökkääjät tietäisivät tietokannan sijainnin/IP-osoitteen, käyttäjätunnuksen ja salasanan, he eivät voi käyttää niitä – koska tietovaraston käyttö on rajoitettu tiettyihin sovellusrooleihin, IAM:iin ja pilvi- verkon kehät jne."
Lopuksi hän mainitsi, että tietoturvatyökalut voisivat edelleen tarkkailla ja valvoa, kuinka eri sovellukset saavat tietoja.
Totuus on sanottava, että tämä ei ole ensimmäinen kerta, kun mikään suuri yritys on joutunut tietomurhaan. Tietomurrot ovat koskettaneet jokaista toimialaa joko heidän itsensä tai tiettyjen uhkatekijöiden aiheuttamia. Microsoftin osallistumisesta sähköpostihakkerointiin T-Mobileen asiakkaidensa arkaluontoisten tietojen vaarantamiseen, vahingossa tapahtuvat tietovuodot pyörivät kaikkialla.
Siksi yritysten on varmistettava, että kaikki heidän erityisesti kuluttajiin liittyvät tiedot säilytetään turvallisesti. Heidän on edelleen hiottava kyberturvallisuuskäytäntöjään pysyäkseen poissa tietomurroista.