زنجیره ای محبوب فست فود مک دونالد به طور تصادفی اطلاعات بیشتری از آنچه که باید ارسال می کند- همراه با کوپن های سیب زمینی سرخ کرده رایگان ، ایمیل ها همچنین شامل رمزهای پایگاه داده مربوط به بازی VIP انحصاری آن است.
The Monopoly UK بازی VIP در اواخر آگوست آغاز شد. با این حال ، ایمیل های اخیر حاوی جوایز مختلف برای برندگان شامل مواردی فراتر از کوپن های جایزه بود. که در واقع از فناوری مطلع بودند و می دانستند چه چیزی دریافت می کنند. به گفته کارشناسان ، اگر اعتبارنامه در "دستان اشتباه" ، قرار داشته باشد ، در تقلب می شد و بازیکنان در مقیاس گسترده تقلب می کردند.
با این حال ، به گفته مک دونالد ، آنها بلافاصله به محض اطلاع از سهل انگاری به سرورها تغییر کردند.
Mohit Tiwari ، مدیر عامل شرکت Symmetry Systems ، در بیانیه ای به تهدیدی مبنی بر اینکه خطایی که توسط یک انسان انجام شده است بسیار دشوار است. حوادثی از این دست باید برای سازمان ها باشد تا حجم زیادی از داده های مشتریان را شناسایی و قفل کنند.
تیواری در ادامه گفت:
"محصولات امنیتی مدرن ذخیره داده ها اصول اعتماد صفر را به داده ها می رسانند و اطمینان حاصل می کنند که هیچ نقطه ای از شکست نیست و کنترل های مبتنی بر ریسک بر هر گونه دسترسی به داده های جواهرات نظارت می کنند. در این مورد ، مشتریان اقلامی را از مک دونالد خریداری می کنند ، بلیط ها را جمع آوری می کنند و کدهای آن بلیط ها را در وب سایت مک دونالد درج می کنند تا جوایز را پس بگیرند.
از آنجا که بازی VIP انحصاری امسال تا 19 اکتبر در حال اجرا است ، سایت بازی شرکت گفت:
"مجموعه های املاک را جمع آوری و تکمیل کنید تا جایزه بگیرید! پس از اتمام یک مجموعه ، از آدرس وب سایت چاپ شده در قطعه بازی بازدید کنید و تمام کد های ملک را وارد کنید تا جایزه خود را دریافت کنید. "
با این حال ، در 6 سپتامبر ، مشاور امنیت وب استرالیا هانت توئیتی از صفحه ایمیلی که برای برنده جایزه با رمزهای عبور پایگاه داده ارسال شده بود و روی آن نوشته شده بود:
"هرگز به دلقک برای ایمن سازی رشته های اتصال خود اعتماد نکنید." pic.twitter.com/BWJ70TqNnw [19459016Ambassador]19659003] Troy Hunt (troyhunt) 6 سپتامبر 2021
نه تنها این ، بلکه برنده بازی VIP انحصار مک دونالد ، با داشتن نام کاربری "cretorsphereco" یک ویدئوی TikTok با عنوان: "من اینها را نمی خواهم ، لطفاً به McD به ایمیل ها پاسخ دهید" ، وی نشت اعتبار را توضیح داد و بیشتر ذکر کرد :
"در حال حاضر من کلیدهای پادشاهی را دارم. و من آنها را نمی خواهم ». خوب ، رمز عبور یکسان در تولید و توسعه / مرحله بندی…) قبلاً تغییر کرده است. در مورد چگونگی انتشار * هر دو * رشته های اتصال شما به یک ایمیل جمعی یک راز باقی می ماند …
– Troy Hunt (troyhunt) 6 سپتامبر 2021
مک دونالد نشت اعتبار در 7 سپتامبر ، همانطور که در بیانیه ای به BleepingComputer ذکر شده است. این زنجیره فست فود در ادامه گفت:
"به دلیل خطای اداری ، تعداد کمی از مشتریان جزئیات یک وب سایت مرحله ای را از طریق ایمیل دریافت کردند. هیچ گونه اطلاعات شخصی در معرض خطر قرار نگرفته یا با سایر طرفها به اشتراک گذاشته نشده است. با افراد آسیب دیده تماس گرفته می شود تا به آنها اطمینان دهند که این یک اشتباه انسانی بوده و اطلاعات آنها ایمن است. ما حریم خصوصی داده ها را بسیار جدی می گیریم و از نگرانی بی جا این خطا عذرخواهی می کنیم. ” ] خطاهایی از این قبیل تهدید بزرگی برای همه سازمان ها است. وی ادامه داد:
"مک دونالد اعلام کرد که این نشت به دلیل خطای انسانی بوده است – که یک اتفاق بسیار شایع تر از آن چیزی است که تصور می شود. به همین دلیل مهم است که همه سازمانها برای کاهش خطرات ناشی از خطای انسانی گام بردارند. این شامل داشتن فرایندهایی است که شامل بررسی ها می شود تا هیچ سرویسی فعال نشود ، یا هیچ گونه تغییری بدون اطمینان از امنیت مانند آزمایش نفوذ صورت نگیرد. »
او اشاره کرد که همه این معاینات به عادت به آگاهی از امنیت کمک می کند [19459004محسنتیواری،مدیرعاملشرکتSymmetrySystems،گفت:
متخصصان امنیت سایبری که برای کاربران آموزش دیده اند باید ابتدا تمام داده های مصرف کننده را قفل کنند ، که در واقع یک هدف شاداب برای همه مجرمان سایبری است.
-پاسخ فشرده به چنین خطاهایی دو برابر شدن امنیت برنامه است -اما ایمن سازی صدها میلیون خط کد یک درخواست غیرممکن است و انجام اسکن های سطح سطح ("AppSec") یا درخواست قبض نرم افزار مواد (SBOM) فعالیتهای بسیار کم اهرم ، " وی در ادامه اظهار داشت. "در این مورد ، حفاظت از داده ها می تواند اطمینان حاصل کند که حتی اگر مهاجمان مکان پایگاه داده/IP ، نام کاربری و رمز عبور را بدانند ، قادر به استفاده از آنها نیستند-زیرا دسترسی به ذخیره داده ها محدود به نقشهای برنامه خاص ، IAM ، و محیط شبکه ابری و غیره. " برای اولین بار است که هر شرکت بزرگ درگیر مشکل اطلاعات می شود. نقض داده ها هر صنعتی را که توسط خود آنها یا عوامل تهدیدکننده ایجاد شده است تحت تأثیر قرار داده است. از درگیر شدن مایکروسافت در هک ایمیل گرفته تا T-Mobile که اطلاعات حساس مشتری آنها را به خطر می اندازد ، نشت داده های تصادفی در همه جا پیچیده می شود.
به همین دلیل است که شرکت ها باید اطمینان حاصل کنند که تمام داده های آنها به ویژه مربوط به مصرف کنندگان با خیال راحت ذخیره می شود. آنها همچنین باید روشهای امنیت سایبری خود را اصلاح کنند تا از نقض اطلاعات دوری کنند.