Wycieki McDonald’s dotyczące bazy danych Monopoly VIP dla zwycięzców
Popularna sieć fast foodów McDonald's przypadkowo wysłała więcej informacji niż powinna – oprócz kuponów na darmowe frytki, e-maile zawierały również hasła do bazy danych powiązanej z jej grą Monopoly VIP.
Gra Monopoly UK VIP rozpoczęła się pod koniec sierpnia. Jednak ostatnia seria wiadomości e-mail zawierających różne nagrody dla zwycięzców obejmowała znacznie więcej niż tylko kupony z nagrodami.
Pomyłkę wychwycił i zwrócił na nią uwagę badacz o imieniu Troy Hunt wraz z kilkoma zwycięzcami, którzy w rzeczywistości znali się na technologii i wiedzieli, co otrzymali. Według ekspertów, gdyby dane uwierzytelniające wpadły w „nieodpowiednie ręce", doszłoby do oszustw i oszustw graczy na masową skalę.
Jednak według McDonald's natychmiast zmienili hasła do serwera, gdy tylko powiadomiono ich o zaniedbaniu.
Mohit Tiwari, dyrektor generalny Symmetry Systems, oświadczył w oświadczeniu dla Threatpost, że błąd popełniony przez człowieka jest niezwykle trudny do złagodzenia. Incydenty takie jak te powinny stać się dla organizacji narzędziem do identyfikowania i blokowania dużych ilości danych klientów.
Tiwari dalej powiedział:
„Nowoczesne produkty zabezpieczające magazyny danych wprowadzają zasady zerowego zaufania do danych, zapewniając, że nie ma jednego punktu awarii, a oparte na ryzyku mechanizmy kontrolne monitorują każdy dostęp do danych będących klejnotem koronnym”
Incydent dotyczący poświadczeń serwera McDonald's Monopoly VIP
Monopoly VIP McDonald's to dość stara tradycja, która została zapoczątkowana w 1987 roku. W tym przypadku klienci kupują przedmioty w McDonald's, zbierają bilety i wpisują kody tych biletów na stronie McDonald's, aby odebrać nagrody.
Ponieważ tegoroczna gra Monopoly VIP trwa do 19 października, strona firmy z grami podała:
„Zbierz i skompletuj zestawy nieruchomości, aby wygrać nagrody! Po skompletowaniu zestawu odwiedź adres strony internetowej wydrukowany na zwycięskim elemencie gry i wprowadź wszystkie kody nieruchomości, aby odebrać nagrodę.”
Jednak 6 września australijski konsultant ds. bezpieczeństwa sieci Hunt opublikował na Twitterze zrzut ekranu wiadomości e-mail wysłanej do zwycięzcy z hasłami do bazy danych i podpisem:
„Nigdy nie ufaj klaunowi, że zabezpieczy parametry połączenia”.
Nie tylko to, ale inny zwycięzca gry Monopoly VIP McDonald's, mający nazwę użytkownika „cretorsphereco”, opublikował wideo TikTok o tytule: „Nie chcę tego, proszę odpowiadać na e-maile McD”, wyjaśnił wyciek danych uwierzytelniających i dalej wspomniał:
„Obecnie mam klucze do królestwa. A ja ich nie chcę.
Po tweecie Hunta McDonald's podjął działania przeciwko niemu, co zostało zapewnione przez kolejny tweet Hunta, który mówił:
McDonald's potwierdził wyciek danych uwierzytelniających 7 września, jak wspomniano w oświadczeniu dla BleepingComputer. Sieć fast foodów powiedziała dalej:
„Z powodu błędu administracyjnego niewielka liczba klientów otrzymała e-mailem szczegóły dotyczące strony tymczasowej. Żadne dane osobowe nie zostały naruszone ani udostępnione innym stronom. Z osobami, których to dotyczy, skontaktujemy się, aby zapewnić ich, że był to błąd ludzki i że ich informacje pozostają bezpieczne. Bardzo poważnie podchodzimy do prywatności danych i przepraszamy za wszelkie nieuzasadnione obawy, jakie spowodował ten błąd”.
Błąd ludzki i zabezpieczanie danych klientów
Według Javvada Malika, rzecznika wiedzy na temat bezpieczeństwa w KnowBe4, takie błędy są dużym zagrożeniem dla wszystkich organizacji. Dalej kontynuował:
„Mcdonald's stwierdził, że ten wyciek był spowodowany ludzkim błędem – co jest znacznie częstszym zjawiskiem, niż mogłoby się wydawać. Dlatego ważne jest, aby wszystkie organizacje podjęły kroki w celu zmniejszenia ryzyka związanego z błędem ludzkim. Obejmuje to procesy, które obejmują kontrole, aby żadna usługa nie została uruchomiona lub żadne zmiany nie zostały wprowadzone bez zapewnienia bezpieczeństwa, takiego jak testy penetracyjne”.
Wspomniał, że wszystkie te kontrole pomogłyby stworzyć nawyk świadomości bezpieczeństwa.
Specjaliści ds. cyberbezpieczeństwa przeszkoleni dla użytkowników powinni najpierw zablokować wszystkie dane konsumenckie, co jest rzeczywiście soczystym celem dla wszystkich cyberprzestępców, powiedział Mohid Tiwari, dyrektor generalny Symmetry Systems.
„Odruchową reakcją na takie błędy jest podwojenie bezpieczeństwa aplikacji — ale idealne zabezpieczenie setek milionów wierszy kodu to niemożliwe zadanie i wykonanie skanowania kodu na poziomie powierzchni („AppSec”) lub prośba o zestawienie oprogramowania (SBOM) są działaniami o wyjątkowo niskiej dźwigni” – oświadczył dalej. „W tym przypadku zabezpieczenia wokół danych mogą zapewnić, że nawet jeśli atakujący znają lokalizację/IP bazy danych, nazwę użytkownika i hasło, nie będą w stanie ich użyć — ponieważ dostęp do magazynu danych jest ograniczony do określonych ról aplikacji, uprawnień i chmury. granice sieci itp.”
Na koniec wspomniał, że narzędzia zabezpieczające dane mogą dalej obserwować i monitorować, w jaki sposób różne aplikacje uzyskują dane.
Prawdę mówiąc, to nie pierwszy raz, kiedy jakaś duża firma zaangażowała się w błąd w danych. Naruszenia danych dotknęły każdą branżę, spowodowane przez nich samych lub przez niektórych cyberprzestępców. Przypadkowe wycieki danych zdarzają się wszędzie — od Microsoftu włamującego się do wiadomości e-mail po T-Mobile zagrażające poufnym informacjom swoich klientów .
Dlatego firmy muszą zapewnić, że wszystkie ich dane, szczególnie dotyczące konsumentów, są bezpiecznie przechowywane. Muszą ponadto dopracować swoje praktyki w zakresie cyberbezpieczeństwa, aby uniknąć naruszeń danych.