McDonald’s передає переможцям дані про базу даних Monopoly VIP
Популярна мережа швидкого харчування McDonald's випадково розіслала більше інформації, ніж слід – поряд з купонами на безкоштовну картоплю фрі, електронні листи також містили паролі бази даних, пов'язаної з її VIP-грою Monopoly.
VIP-гра Monopoly UK почалася наприкінці серпня. Однак нещодавній список електронних листів, що містили різні призи для переможців, містив набагато більше, ніж просто призові купони.
Помилка була зловлена й привернута до уваги дослідником на ім’я Трой Хант разом із кількома переможцями, які справді володіли технікою та знали, що вони отримали. За словами експертів, якби облікові дані потрапили в «не ті руки», то було б шахрайство та крадіжки гравців у масових масштабах.
Однак, за словами McDonald's, вони відразу змінили паролі сервера, як тільки їм повідомили про недбалість.
Мохіт Тіварі, генеральний директор Symmetry Systems, заявив у заяві Threatpost, що помилку, допущену людиною, надзвичайно важко пом’якшити. Подібні інциденти повинні стати засобом для організацій ідентифікувати та заблокувати великі обсяги даних клієнтів.
Далі Тіварі сказав:
«Сучасні продукти безпеки для сховищ даних привносять принципи нульової довіри до даних, гарантуючи, що немає єдиної точки збою та контролю, заснованого на ризиках, контролюють кожен доступ до даних корони».
Інцидент з обліковими даними VIP-сервера McDonald's Monopoly
McDonald's Monopoly VIP — це досить давня традиція, започаткована в 1987 році. У ній клієнти купують товари в McDonald's, збирають квитки та вставляють коди цих квитків на веб-сайт McDonald's, щоб викупити призи.
Оскільки цьогорічна VIP-гра Monopoly триватиме до 19 жовтня, на ігровому сайті компанії зазначено:
«Збирайте та заповнюйте набори майна, щоб виграти призи! Після того, як ви завершили набір, відвідайте адресу веб-сайту, надруковану на переможній ігровій частині, і введіть усі коди власності, щоб отримати свій приз».
Однак 6 вересня австралійський консультант із веб-безпеки Хант опублікував у Твіттері знімок екрана електронного листа, який було надіслано переможцю призу з паролями до бази даних та підписом:
«Ніколи не довіряйте клоуну захистити свої рядки з’єднання».
Не тільки це, але ще один переможець VIP-ігри McDonald's Monopoly, який має ім’я користувача «cretorsphereco», опублікував відео TikTok із заголовком: «Я не хочу цього, будь ласка, відповідайте на електронні листи McD». Він пояснив витік облікових даних і далі:
«Зараз у мене є ключі від королівства. І я їх не хочу».
Після твіту Ханта McDonald's вжив проти нього заходів, що було забезпечено наступним твітом Ханта, який сказав:
McDonald's визнав витік облікових даних 7 вересня, як зазначено в заяві для BleepingComputer. Мережа швидкого харчування також повідомила:
«Через адміністративну помилку невелика кількість клієнтів отримали електронною поштою деталі про вихідний веб-сайт. Жодні особисті дані не були скомпрометовані або передані іншим сторонам. З особами, які постраждали, зв’яжуться, щоб запевнити їх, що це була людська помилка і що їхня інформація залишається в безпеці. Ми дуже серйозно ставимося до конфіденційності даних і приносимо вибачення за будь-яке надмірне занепокоєння, яке спричинила ця помилка».
Людські помилки та захист даних клієнтів
За словами Джаввада Маліка, прихильника безпеки в KnowBe4, подібні помилки становлять велику загрозу для всіх організацій. Далі він продовжив:
«Макдональдс заявив, що цей витік стався через людську помилку, що є набагато більш поширеним явищем, ніж можна подумати. Ось чому важливо, щоб усі організації вжили заходів для зменшення ризику, пов’язаного з людською помилкою. Це включає в себе наявність процесів, які передбачають перевірки, щоб жодна служба не була запущена або не вносилися зміни без гарантії безпеки, наприклад тестування на проникнення».
Він зазначив, що всі ці перевірки допоможуть створити звичку поінформованості про безпеку.
Професійні спеціалісти з кібербезпеки, підготовлені для користувачів, повинні спочатку спеціально заблокувати всі дані споживача, що дійсно є соковитою метою для всіх кіберзлочинців, сказав Мохід Тіварі, генеральний директор Symmetry Systems.
«Реакцією на такі помилки є подвоєння безпеки додатків, але ідеальний захист сотень мільйонів рядків коду є неможливим запитувати та виконувати сканування коду на поверхневому рівні («AppSec») або запитувати перелік матеріалів (SBOM) є діяльністю з вкрай низькими важелями», – заявив він. «У цьому випадку захист навколо даних може гарантувати, що навіть якщо зловмисники знають розташування бази даних/IP, ім’я користувача та пароль, вони не зможуть їх використовувати, оскільки доступ до сховища даних обмежений певними ролями додатків, IAM та хмари. периметри мережі тощо».
Нарешті, він зазначив, що інструменти безпеки для даних можуть додатково спостерігати та контролювати, як різні програми отримують дані.
По правді кажучи, це не перший випадок, коли будь-яка велика компанія замішана в обробці даних. Порушення даних торкнулися кожної галузі, спричинені ними самими або певними загрозами. Від Microsoft, залученої до злому електронної пошти, до T-Mobile, що загрожує конфіденційній інформації своїх клієнтів, випадкові витоки даних відбуваються скрізь.
Ось чому компанії повинні гарантувати, що всі їхні дані, особливо які стосуються споживачів, зберігаються безпечно. Їм також потрібно відшліфувати свої методи кібербезпеки, щоб уникати зловживань даних.