A popular cadeia de fast-food McDonald's acidentalmente enviou mais informações do que deveriam – junto com cupons para batatas fritas grátis, os e-mails também incluíam senhas de um banco de dados associado ao seu jogo Monopoly VIP.
O jogo VIP do Monopoly UK começou no final de agosto. No entanto, um recente resumo de e-mails contendo vários prêmios para os vencedores incluiu muito mais do que apenas os cupons de prêmios.
O erro foi pego e trazido à atenção por um pesquisador chamado Troy Hunt, junto com alguns vencedores que eram realmente experientes em tecnologia e sabiam o que receberam. De acordo com especialistas, se as credenciais tivessem caído em ‘mãos erradas', haveria trapaças e roubos de jogadores em grande escala.
No entanto, de acordo com o McDonald's, eles imediatamente alteraram as senhas do servidor assim que a negligência foi notificada a eles.
Mohit Tiwari, CEO da Symmetry Systems, declarou em um comunicado ao Threatpost que um erro cometido por um humano é extremamente difícil de aliviar. Incidentes como esses devem se tornar um motivo para as organizações identificarem e bloquearem grandes quantidades de dados de clientes.
Tiwari disse ainda:
“Os produtos modernos de segurança de armazenamento de dados trazem princípios de confiança zero para os dados, garantindo que não haja um ponto de falha e que os controles baseados em risco monitorem todos os acessos aos dados da jóia da coroa"
Incidente de credenciais de servidor VIP de monopólio do McDonald's
O McDonald's Monopoly VIP é uma tradição bastante antiga que foi iniciada em 1987. Nele, os clientes compram itens do McDonald's, coletam ingressos e inserem os códigos desses ingressos no site do McDonald's para resgatar prêmios.
Como o jogo Monopoly VIP deste ano está em execução até 19 de outubro, o site de jogos da empresa disse:
“Recolha e complete conjuntos de propriedades para ganhar prêmios! Depois de concluir um conjunto, visite o endereço do site impresso na peça vencedora e insira todos os códigos de propriedade para reivindicar seu prêmio.”
No entanto, em 6 de setembro, o consultor australiano de segurança na web Hunt twittou uma captura de tela do e-mail que foi enviado a um vencedor do prêmio com senhas de banco de dados e legendado:
“Nunca confie em um palhaço para proteger suas cadeias de conexão.”
Não apenas isso, mas outro vencedor do jogo McDonald's Monopoly VIP, com o nome de usuário “cretorsphereco” postou um vídeo do TikTok com o título: “Eu não quero isso, por favor, responda aos e-mails McD”, ele explicou o vazamento de credenciais e mencionou:
“Atualmente eu tenho as chaves do reino. E eu não os quero.”
Após o tweet de Hunt, o McDonald's tomou medidas contra ele, o que foi garantido por um tweet de Hunt que dizia:
O McDonald's reconheceu o vazamento de credenciais em 7 de setembro, conforme mencionado em um comunicado ao BleepingComputer. A rede de fast-food disse ainda:
“Devido a um erro administrativo, um pequeno número de clientes recebeu os detalhes de um site de teste por e-mail. Nenhum dado pessoal foi comprometido ou compartilhado com outras partes. Os afetados serão contatados para tranquilizá-los de que isso foi um erro humano e que suas informações permanecem seguras. Levamos a privacidade dos dados muito a sério e pedimos desculpas por qualquer preocupação indevida que esse erro tenha causado.”
Erro humano e proteção de dados do cliente
De acordo com Javvad Malik, defensor da conscientização de segurança da KnowBe4, erros como esses são uma grande ameaça para todas as organizações. Ele ainda continuou:
“O McDonald's afirmou que esse vazamento foi devido a erro humano – o que é uma ocorrência muito mais comum do que se pode pensar. É por isso que é importante que todas as organizações tomem medidas para reduzir o risco representado por erro humano. Isso inclui ter processos que envolvem verificações para que nenhum serviço seja ativado ou nenhuma alteração seja feita sem garantia de segurança, como testes de penetração.”
Ele mencionou que todas essas verificações ajudariam a criar o hábito de conscientização sobre segurança.
Profissionais de segurança cibernética treinados para usuários devem primeiro bloquear especificamente todos os dados do consumidor, o que é de fato um alvo interessante para todos os cibercriminosos, disse Mohid Tiwari, CEO da Symmetry Systems.
“A resposta imediata a esses erros é dobrar a segurança do aplicativo – mas proteger perfeitamente centenas de milhões de linhas de código é uma pergunta impossível e fazer varreduras de código de nível de superfície (‘AppSec') ou solicitar lista de materiais de software (SBOM) são atividades de baixíssima alavancagem”, declarou ainda. “Nesse caso, as proteções em torno dos dados podem garantir que, mesmo que os invasores conheçam o local/IP do banco de dados, o nome de usuário e a senha, eles não possam usá-los – já que o acesso ao armazenamento de dados está confinado a funções específicas do aplicativo, IAM e nuvem. perímetros de rede, etc.”
Por fim, ele mencionou que as ferramentas de segurança de dados podem observar e monitorar ainda mais como vários aplicativos obtêm dados.
Verdade seja dita, esta não é a primeira vez que uma grande empresa se envolve em uma confusão de dados. As violações de dados atingiram todos os setores causadas por eles mesmos ou por determinados agentes de ameaças. Desde a Microsoft se envolvendo em um hack de e-mail até a T-Mobile colocando em risco as informações confidenciais de seus clientes, vazamentos acidentais de dados ocorrem em todos os lugares.
É por isso que as empresas precisam garantir que todos os seus dados, especialmente relacionados aos consumidores, sejam armazenados com segurança. Eles ainda precisam aprimorar suas práticas de segurança cibernética para ficar longe de violações de dados.