La famosa catena di fast food McDonald's ha inviato accidentalmente più informazioni di quanto avrebbe dovuto: insieme a coupon per patatine fritte gratuite, le e-mail includevano anche le password di un database associato al suo gioco Monopoly VIP.
Il gioco VIP di Monopoly UK è iniziato alla fine di agosto. Tuttavia, una recente carrellata di e-mail contenenti vari premi per i vincitori includeva molto di più dei semplici coupon premio.
L'errore è stato colto e portato all'attenzione da un ricercatore di nome Troy Hunt, insieme ad alcuni vincitori che erano effettivamente esperti di tecnologia e sapevano cosa ricevevano. Secondo gli esperti, se le credenziali fossero cadute nelle "mani sbagliate", ci sarebbero stati imbrogli e fregature dei giocatori su vasta scala.
Tuttavia, secondo McDonald's, hanno immediatamente cambiato le password del server non appena è stata loro notificata la negligenza.
Mohit Tiwari, CEO di Symmetry Systems, ha dichiarato in una dichiarazione a Threatpost che un errore commesso da un essere umano è estremamente difficile da alleviare. Incidenti come questi dovrebbero diventare un'opportunità per le organizzazioni di identificare e bloccare grandi quantità di dati sui clienti.
Tiwari ha inoltre detto:
"I moderni prodotti per la sicurezza dell'archivio dati apportano ai dati i principi di zero-trust, assicurando che non vi sia un punto di errore e che i controlli basati sul rischio monitorino ogni accesso ai dati gioiello della corona"
Incidente sulle credenziali del server VIP di McDonald's Monopoly
McDonald's Monopoly VIP è una tradizione piuttosto antica iniziata nel 1987. In questo, i clienti acquistano articoli da McDonald's, raccolgono i biglietti e inseriscono i codici di quei biglietti sul sito Web di McDonald's per riscattare i premi.
Dal momento che il gioco Monopoly VIP di quest'anno è in corso fino al 19 ottobre, il sito di giochi dell'azienda ha dichiarato:
“Raccogli e completa set di proprietà per vincere premi! Dopo aver completato un set, visita l'indirizzo del sito web stampato sul pezzo di gioco vincente e inserisci tutti i codici proprietà per richiedere il tuo premio.
Tuttavia, il 6 settembre, il consulente per la sicurezza web australiano Hunt ha twittato uno screenshot dell'e-mail che è stata inviata a un vincitore del premio con le password del database e con la didascalia:
"Non fidarti mai di un clown per proteggere le tue stringhe di connessione."
Non solo questo, ma un altro vincitore del gioco VIP di McDonald's Monopoly, con il nome utente "cretorsphereco" ha pubblicato un video TikTok con il titolo: "Non li voglio, per favore rispondi alle e-mail McD", ha spiegato la fuga di credenziali e ha inoltre menzionato:
“Attualmente ho le chiavi del regno. E non li voglio".
Dopo il tweet di Hunt, McDonald's ha preso provvedimenti contro di esso, il che è stato assicurato da un tweet di follow-up di Hunt che diceva:
McDonald's ha riconosciuto la fuga di credenziali il 7 settembre, come menzionato in una dichiarazione al BleepingComputer. La catena di fast food ha inoltre affermato:
“A causa di un errore amministrativo, un piccolo numero di clienti ha ricevuto via e-mail i dettagli per un sito Web di staging. Nessun dato personale è stato compromesso o condiviso con altre parti. Le persone interessate verranno contattate per rassicurarle che si è trattato di un errore umano e che le loro informazioni rimangono al sicuro. Prendiamo molto sul serio la privacy dei dati e ci scusiamo per qualsiasi preoccupazione indebita causata da questo errore.
Errore umano e protezione dei dati dei clienti
Secondo Javvad Malik, un sostenitore della consapevolezza della sicurezza per KnowBe4, errori come questi rappresentano una grande minaccia per tutte le organizzazioni. Ha inoltre continuato:
“Mcdonald's ha affermato che questa fuga di notizie era dovuta a un errore umano, che è un evento molto più comune di quanto si possa pensare. Ecco perché è importante che tutte le organizzazioni adottino misure per ridurre il rischio rappresentato dall'errore umano. Ciò include l'adozione di processi che implicano controlli in modo che nessun servizio venga attivato o che non vengano apportate modifiche senza garanzie di sicurezza come i test di penetrazione".
Ha detto che tutti questi controlli aiuterebbero a creare un'abitudine alla consapevolezza della sicurezza.
I professionisti della sicurezza informatica formati per gli utenti dovrebbero prima bloccare in modo specifico tutti i dati dei consumatori, che è davvero un obiettivo succoso per tutti i criminali informatici, ha affermato Mohid Tiwari, CEO di Symmetry Systems.
"La risposta istintiva a tali errori è raddoppiare la sicurezza dell'applicazione, ma proteggere perfettamente centinaia di milioni di righe di codice è una richiesta impossibile ed eseguire scansioni di codici a livello di superficie ("AppSec") o richiedere la distinta base del software (SBOM) sono attività a leva estremamente bassa", ha inoltre dichiarato. "In questo caso, le protezioni sui dati possono garantire che, anche se gli aggressori conoscono la posizione/IP, il nome utente e la password del database, non sono in grado di utilizzarli, poiché l'accesso al datastore è limitato a specifici ruoli dell'applicazione, IAM e cloud- perimetri di rete, ecc.
Infine, ha menzionato che gli strumenti di sicurezza per i dati potrebbero ulteriormente osservare e monitorare il modo in cui le varie applicazioni ottengono i dati.
A dire il vero, questa non è la prima volta che una grande azienda viene coinvolta in un pasticcio di dati. Le violazioni dei dati hanno colpito tutti i settori causati da loro stessi o da determinati attori delle minacce. Da Microsoft che viene coinvolta in un attacco di posta elettronica a T-Mobile che mette in pericolo le informazioni sensibili dei propri clienti, le fughe accidentali di dati ruotano ovunque.
Questo è il motivo per cui le aziende devono garantire che tutti i loro dati, in particolare relativi ai consumatori, siano archiviati in modo sicuro. Hanno inoltre bisogno di perfezionare le loro pratiche di sicurezza informatica per stare alla larga dalle violazioni dei dati.