La célèbre chaîne de restauration rapide McDonald's a accidentellement envoyé plus d'informations qu'elle ne le devrait – avec des coupons pour des frites gratuites, les e-mails comprenaient également les mots de passe d'une base de données associée à son jeu Monopoly VIP.
Le jeu VIP Monopoly UK a commencé fin août. Cependant, un récent tour d'horizon des e-mails contenant divers prix pour les gagnants comprenait bien plus que les coupons de prix.
L'erreur a été détectée et portée à l'attention d'un chercheur nommé Troy Hunt, ainsi que de quelques gagnants qui connaissaient en fait la technologie et savaient ce qu'ils recevaient. Selon les experts, si les informations d'identification étaient tombées entre «de mauvaises mains», il y aurait eu des tricheries et des arnaques de joueurs à grande échelle.
Cependant, selon McDonald's, ils ont immédiatement changé les mots de passe du serveur dès que la négligence leur a été notifiée.
Mohit Tiwari, le PDG de Symmetry Systems, a déclaré dans une déclaration à Threatpost qu'une erreur commise par un humain est extrêmement difficile à atténuer. De tels incidents devraient devenir un moyen pour les organisations d' identifier et de verrouiller de grandes quantités de données de clients.
Tiwari a ajouté :
"Les produits de sécurité modernes pour les magasins de données appliquent des principes de confiance zéro aux données, garantissant qu'il n'y a pas de point de défaillance unique et que des contrôles basés sur les risques surveillent chaque accès aux données de joyau de la couronne"
Incident lié aux informations d'identification du serveur VIP du Monopoly de McDonald's
McDonald's Monopoly VIP est une tradition assez ancienne qui a été lancée en 1987. En cela, les clients achètent des articles chez McDonald's, récupèrent des billets et insèrent les codes de ces billets sur le site Web de McDonald's pour échanger des prix.
Étant donné que le jeu Monopoly VIP de cette année se déroule jusqu'au 19 octobre, le site de jeu de la société a déclaré :
"Collectionnez et complétez des ensembles de propriétés pour gagner des prix ! Une fois que vous avez terminé un ensemble, visitez l'adresse du site Web imprimée sur la pièce de jeu gagnante et entrez tous les codes de propriété pour réclamer votre prix. »
Cependant, le 6 septembre, le consultant australien en sécurité Web Hunt a tweeté une capture d'écran de l'e-mail envoyé à un lauréat avec des mots de passe de base de données et sous-titré :
"Ne faites jamais confiance à un clown pour sécuriser vos chaînes de connexion."
Non seulement cela, mais un autre gagnant du jeu McDonald's Monopoly VIP, ayant le nom d'utilisateur «cretorsphereco », a publié une vidéo TikTok avec le titre: « Je ne veux pas ça, veuillez répondre aux e-mails McD », a-t -il expliqué la fuite des informations d'identification et a en outre mentionné :
« Actuellement, j'ai les clés du royaume. Et je ne veux pas d'eux.
Après le tweet de Hunt, McDonald's a pris des mesures contre lui, ce qui a été assuré par un tweet de suivi de Hunt qui disait :
McDonald's a reconnu la fuite des informations d'identification le 7 septembre, comme mentionné dans une déclaration au BleepingComputer. La chaîne de restauration rapide a en outre déclaré:
"En raison d'une erreur administrative, un petit nombre de clients ont reçu par e-mail les détails d'un site de développement. Aucune donnée personnelle n'a été compromise ou partagée avec d'autres parties. Les personnes concernées seront contactées pour les rassurer qu'il s'agissait d'une erreur humaine et que leurs informations restent en sécurité. Nous prenons la confidentialité des données très au sérieux et nous nous excusons pour toute inquiétude indue que cette erreur a causée.
Erreur humaine et sécurisation des données client
Selon Javvad Malik, un défenseur de la sensibilisation à la sécurité pour KnowBe4, des erreurs comme celles-ci constituent une grande menace pour toutes les organisations. Il a en outre poursuivi :
"Mcdonald's a déclaré que cette fuite était due à une erreur humaine – ce qui est beaucoup plus courant qu'on ne le pense. C'est pourquoi il est important que toutes les organisations prennent des mesures pour réduire le risque posé par l'erreur humaine. Cela inclut d'avoir des processus qui impliquent des vérifications afin qu'aucun service ne soit mis en ligne ou qu'aucune modification ne soit apportée sans assurance de sécurité telle que des tests d'intrusion.
Il a mentionné que tous ces contrôles contribueraient à créer une habitude de sensibilisation à la sécurité.
Les professionnels de la cybersécurité formés pour les utilisateurs devraient d'abord verrouiller spécifiquement toutes les données des consommateurs, ce qui est en effet une cible juteuse pour tous les cybercriminels, a déclaré Mohid Tiwari, PDG de Symmetry Systems.
"La réponse instinctive à de telles erreurs est de doubler la sécurité des applications – mais sécuriser parfaitement des centaines de millions de lignes de code est une demande impossible et effectuer des analyses de code au niveau de la surface ("AppSec") ou demander une nomenclature logicielle (SBOM) sont des activités à très faible effet de levier », a-t-il ajouté. «Dans ce cas, les protections autour des données peuvent garantir que même si les attaquants connaissent l'emplacement/l'adresse IP de la base de données, le nom d'utilisateur et le mot de passe, ils ne peuvent pas les utiliser, car l'accès au magasin de données est limité à des rôles d'application spécifiques, IAM et cloud. périmètres de réseau, etc.
Enfin, il a mentionné que les outils de sécurité des données pourraient observer et surveiller davantage la manière dont diverses applications obtiennent des données.
À vrai dire, ce n'est pas la première fois qu'une grande entreprise est impliquée dans une erreur de données. Les violations de données ont touché tous les secteurs, qu'elles soient causées par elles-mêmes ou par certains acteurs de la menace. De Microsoft impliqué dans un piratage d'e-mails à T-Mobile mettant en danger les informations sensibles de ses clients, les fuites de données accidentelles sévissent partout.
C'est pourquoi les entreprises doivent s'assurer que toutes leurs données, en particulier liées aux consommateurs, sont stockées en toute sécurité. Ils doivent en outre peaufiner leurs pratiques de cybersécurité pour rester à l'écart des violations de données.