Den populära snabbmatskedjan McDonald's skickade av misstag ut mer information än de borde – tillsammans med kuponger för gratis pommes frites inkluderade e-postmeddelandena också lösenord för en databas som är kopplad till deras Monopoly VIP-spel.
Monopoly UK VIP-spelet började i slutet av augusti. En ny sammanfattning av e-postmeddelanden som innehöll olika priser för vinnare innehöll dock mycket mer än bara priskupongerna.
Misstaget fångades och uppmärksammades av en forskare vid namn Troy Hunt, tillsammans med några vinnare som faktiskt var tekniskt kunniga och visste vad de fick. Enligt experter, om inloggningsuppgifterna hade hamnat i "fela händer", så skulle det ha förekommit fusk och spelare lurendrejerier i stor skala.
Men enligt McDonald's ändrade de omedelbart lösenorden till servern så fort försummelsen meddelades dem.
Mohit Tiwari, VD för Symmetry Systems, förklarade i ett uttalande till Threatpost att ett misstag som gjorts av en människa är extremt svårt att lindra. Incidenter som dessa borde bli ett för organisationer att identifiera och låsa stora mängder data från kunder.
Tiwari sa vidare:
"Moderna säkerhetsprodukter för datalagring ger noll-förtroende för data, vilket säkerställer att det inte finns någon punkt där det går att misslyckas och att riskbaserade kontroller övervakar varje åtkomst till kronjuveldata."
Incident med McDonald's Monopoly VIP-serveruppgifter
McDonald's Monopoly VIP är en ganska gammal tradition som initierades 1987. I detta köper kunder saker från McDonald's, samlar in biljetter och sätter in koder för dessa biljetter på McDonald's webbplats för att lösa in priser.
Eftersom årets Monopoly VIP-spel pågår till och med den 19 oktober, sa företagets spelsajt:
“Samla och komplettera fastighetsset för att vinna priser! När du har slutfört ett set besöker du webbadressen som är tryckt på den vinnande spelpjäsen och anger alla egendomskoder för att hämta ditt pris."
Men den 6 september twittrade den australiensiska webbsäkerhetskonsulten Hunt en skärmdump av e-postmeddelandet som skickades till en pristagare med databaslösenord och textade:
"Lita aldrig på en clown för att säkra dina anslutningssträngar."
Inte bara detta, utan en annan McDonald's Monopoly VIP-spelvinnare, med användarnamnet "cretorsphereco" publicerade en TikTok-video med titeln: "Jag vill inte ha dessa, snälla svara på e-postmeddelanden McD," Han förklarade läckaget av autentiseringsuppgifterna och nämnde vidare:
"För närvarande har jag nycklarna till kungariket. Och jag vill inte ha dem.”
Efter Hunts tweet vidtog McDonalds åtgärder mot den, vilket säkerställdes genom en uppföljande tweet från Hunt som sa:
McDonald's erkände legitimationsläckan den 7 september, som nämnts i ett uttalande till BleepingComputer. Snabbmatskedjan sa vidare:
"På grund av ett administrativt fel fick ett litet antal kunder information om en iscensättningswebbplats via e-post. Inga personliga uppgifter komprometterades eller delades med andra parter. De som drabbas kommer att kontaktas för att försäkra dem om att detta var ett mänskligt misstag och att deras information förblir säker. Vi tar datasekretess på största allvar och ber om ursäkt för all otillbörlig oro som detta fel har orsakat."
Mänskligt fel och säkra kunddata
Enligt Javvad Malik, en förespråkare för säkerhetsmedvetenhet för KnowBe4, är fel som dessa ett stort hot mot alla organisationer. Han fortsatte vidare:
"Mcdonald's uppgav att denna läcka berodde på mänskliga fel – vilket är en mycket vanligare händelse än man kan tro. Det är därför det är viktigt att alla organisationer vidtar åtgärder för att minska risken för mänskliga fel. Detta inkluderar att ha processer som involverar kontroller så att ingen tjänst går live, eller inga ändringar görs utan säkerhetsförsäkran såsom penetrationstestning.”
Han nämnde att alla dessa kontroller skulle bidra till att skapa en vana av säkerhetsmedvetenhet.
Cybersäkerhetsproffs som utbildats för användare bör först specifikt låsa all konsumentdata, vilket verkligen är ett saftigt mål för alla cyberbrottslingar, säger Mohid Tiwari, VD för Symmetry Systems.
"Det knäppa svaret på sådana fel är att fördubbla applikationssäkerheten – men att perfekt säkra hundratals miljoner kodrader är en omöjlig fråga och att göra ytnivåkodskanningar (‘AppSec') eller be om programvarulistor (SBOM) är aktiviteter med extremt låg hävstång”, förklarade han vidare. "I det här fallet kan skydd kring data säkerställa att även om angripare känner till databasens plats/IP, användarnamn och lösenord, kan de inte använda dessa – eftersom datalagringsåtkomst är begränsad till specifika applikationsroller, IAM och moln- nätverksomkretsar, etc.”
Slutligen nämnde han att säkerhetsverktyg för data ytterligare kan observera och övervaka hur olika applikationer får data.
Sanningen att säga är det inte första gången något stort företag har blivit inblandat i en dataförstöring. Dataintrång har berört alla branscher, antingen orsakade av dem själva eller vissa hotaktörer. Från att Microsoft blir inblandat i ett e-posthack till att T-Mobile äventyrar sina kunders känsliga information, oavsiktliga dataläckor kretsar överallt.
Det är därför företag måste se till att all deras data, särskilt relaterad till konsumenter, lagras säkert. De behöver ytterligare finslipa sina cybersäkerhetsmetoder för att hålla sig borta från dataintrång.