Популярная сеть ресторанов быстрого питания McDonald's случайно разослала больше информации, чем следовало: помимо купонов на бесплатную картошку фри, электронные письма также содержали пароли базы данных, связанной с ее VIP-игрой «Монополия».
VIP-игра Monopoly UK началась в конце августа. Однако недавняя сводка электронных писем, содержащих различные призы для победителей, включала гораздо больше, чем просто призовые купоны.
Ошибка была поймана и доведена до сведения исследователем по имени Трой Хант вместе с несколькими победителями, которые действительно были технически подкованными и знали, что они получили. По мнению экспертов, если бы учетные данные попали «не в те руки», то имели бы место массовые читерства и грабежи игроков.
Однако, по словам представителей McDonald's, они тут же сменили пароли сервера, как только им сообщили о халатности.
Мохит Тивари, генеральный директор Symmetry Systems, заявил в заявлении для Threatpost, что ошибку, допущенную человеком, чрезвычайно трудно исправить. Подобные инциденты должны стать для организаций средством идентификации и блокировки больших объемов данных о клиентах.
Далее Тивари сказал:
«Современные продукты для обеспечения безопасности хранилищ данных привносят в данные принципы нулевого доверия, гарантируя, что нет единой точки отказа, а средства контроля на основе рисков отслеживают каждый доступ к ценным данным».
Инцидент с учетными данными VIP-сервера McDonald's Monopoly
McDonald's Monopoly VIP – довольно старая традиция, которая была начата в 1987 году. При этом клиенты покупают товары в McDonald's, собирают билеты и вставляют коды этих билетов на веб-сайт McDonald's, чтобы получить призы.
Поскольку в этом году VIP-игра «Монополия» продлится до 19 октября, на игровом сайте компании говорится:
«Собирайте и комплектуйте наборы свойств, чтобы выиграть призы! После того, как вы завершите набор, посетите адрес веб-сайта, указанный на выигрышной игровой фишке, и введите все коды собственности, чтобы получить свой приз».
Однако 6 сентября австралийский консультант по веб-безопасности Хант опубликовал в Твиттере скриншот письма, отправленного победителю с паролями к базе данных, с подписью:
«Никогда не доверяйте клоуну защиту ваших строк подключения».
Не только это, но и другой победитель VIP-игры McDonald's Monopoly с именем пользователя «cretorsphereco» опубликовал видео TikTok с заголовком: «Мне это не нужно, пожалуйста, ответьте на электронные письма McD». Он объяснил утечку учетных данных и далее упомянул:
«В настоящее время у меня есть ключи от королевства. А я их не хочу».
После твита Ханта McDonald's принял меры против него, что было обеспечено последующим твитом Ханта, в котором говорилось:
McDonald's признал утечку учетных данных 7 сентября, как упоминалось в заявлении для BleepingComputer. Далее сеть ресторанов быстрого питания заявила:
«Из-за административной ошибки небольшое количество клиентов получили информацию о промежуточном веб-сайте по электронной почте. Никакие личные данные не были скомпрометированы или переданы другим сторонам. С пострадавшими свяжутся, чтобы заверить их, что это была человеческая ошибка и что их информация остается в безопасности. Мы очень серьезно относимся к конфиденциальности данных и приносим извинения за любые чрезмерные опасения, вызванные этой ошибкой».
Человеческая ошибка и защита данных клиентов
По словам Джаввада Малика, сторонника безопасности для KnowBe4, подобные ошибки представляют большую угрозу для всех организаций. Далее он продолжил:
«Макдоналдс» заявил, что эта утечка произошла из-за человеческой ошибки, что случается гораздо чаще, чем можно подумать. Вот почему так важно, чтобы все организации предпринимали шаги для снижения риска, связанного с человеческим фактором. Это включает в себя процессы, включающие проверки, чтобы ни один сервис не запускался или не вносились изменения без гарантии безопасности, такой как тестирование на проникновение».
Он упомянул, что все эти проверки помогут выработать привычку заботиться о безопасности.
По словам Мохида Тивари, генерального директора Symmetry Systems, специалисты по кибербезопасности, обученные для пользователей, должны сначала специально заблокировать все данные потребителей, что действительно является лакомой целью для всех киберпреступников.
«Рефлекторная реакция на такие ошибки заключается в том, чтобы удвоить безопасность приложений, но идеально защитить сотни миллионов строк кода — это невозможная задача, а также сканирование кода на поверхностном уровне («AppSec») или запрос спецификаций программного обеспечения (SBOM) — это деятельность с крайне низким уровнем кредитного плеча», — заявил он далее. «В этом случае защита данных может гарантировать, что даже если злоумышленники знают местоположение/IP-адрес базы данных, имя пользователя и пароль, они не смогут их использовать, поскольку доступ к хранилищу данных ограничен определенными ролями приложений, IAM и облачными сервисами. сетевые периметры и т. д.»
Наконец, он упомянул, что инструменты безопасности для данных могут дополнительно наблюдать и отслеживать, как различные приложения получают данные.
По правде говоря, это не первый случай, когда какая-либо крупная компания оказывается замешанной в искажении данных. Утечки данных затронули каждую отрасль, вызванные либо ими самими, либо определенными субъектами угроз. От Microsoft, вовлеченной во взлом электронной почты, до T-Mobile, подвергающего опасности конфиденциальную информацию своих клиентов, случайные утечки данных происходят повсюду.
Вот почему компаниям необходимо обеспечить безопасное хранение всех своих данных, особенно связанных с потребителями. Им также необходимо усовершенствовать свои методы кибербезопасности, чтобы избежать утечки данных.