麦当劳旗下的英国大富翁VIP游戏于8月底拉开了帷幕,在最近一轮发送给该游戏的中奖玩家的电子邮件中,不仅仅有一张免费薯条的优惠券,这家特许经营店还不小心插入了麦当劳服务器的密码,该服务器运行着与英国大富翁VIP游戏相关的程序。
如果密码落入坏人之手,这些凭证可能会被滥用来对玩家进行欺诈或者大规模地对游戏后台进行破坏。安全研究员也发现了这一漏洞,而且他们也意识到了问题的严重性。
麦当劳官方注意到这个漏洞后,他们就迅速修改了服务器的密码。
网络安全专家认为,人为的漏洞几乎是不可能被避免的。这一事件应该是一个很好的例子,企业应该识别并且锁定大量的客户数据存款,并积极采用零信任的解决方案,现代的数据存储安全产品为数据带来了零信任原则,这样可以确保没有一个故障点。
麦当劳重要的服务器凭证被泄露
麦当劳的大富翁VIP促销活动可以追溯到1987年,这是这个企业的一个长期的传统,顾客通过购买菜单上的商品,收集带有特定代码的票据,他们可以在麦当劳网站上输入这些代码来兑换现金和奖品,今年英国的麦当劳大富翁游戏将持续到10月19日。
该公司的大富翁VIP游戏网站标语说,一旦你完成了代码的收集,请访问印在获奖作品上的网站地址,并输入所有的代码来领取你的奖品,并且确保保管好你的代码。
但在9月6日,总部位于澳大利亚的亨特在推特上发布了一封麦当劳发给中奖者的电子邮件的截图,其中就包含了纯文本的数据库密码。
在TikTok上,另一位麦当劳大富翁VIP得主 cretorsphereco 发布了一段题为 "我不想要这些优惠 "的视频,他指出了证书泄漏的问题,并要求尽快让这家快餐集团知道这一事件。
最终,麦当劳得到了这个消息,由于亨特在9月6日发的推特泄露了密码,官方称密码现在已经被更改了。
目前,至于官方是如何最终将密码发布到群发邮件中的,仍然是个谜。同时,麦当劳在9月7日的一份声明中也承认了这次信息泄漏。
官方称,由于管理上的失误,少数客户可能会通过电子邮件收到含有敏感信息的邮件。但是目前,还没有任何个人信息被泄露。我们将及时与受影响的用户联系,向他们保证这只是一个人为的失误,他们的信息现在仍然安全。我们非常重视数据隐私的保护,并对这一失误造成的任何不必要的恐慌表示歉意。
人为的失误和数据的锁定
安全研究人员认为,这些与人相关的安全事件对任何规模的组织来说都是一个很大的威胁。
麦当劳表示,这次信息泄漏是由于人为的失误造成的。这种情况比人们想象的要普遍得多,这就是为什么所有组织都必须采取措施,减少人为错误所带来的风险的原因。这涉及到各种检查的流程,以便在没有安全保证(如渗透测试)的情况下,不被黑客入侵,数据也不会遭到破坏。同时,所有的这些都有助于产生一种整体的安全意识文化。
除了进行用户培训,网络安全专家应该首先考虑锁定大量的用户数据,这些数据对于威胁者来说,是非常有吸引力的。企业对于这种漏洞的最直接的反应就是要加倍重视应用安全,但完美地保护数亿行代码是一个不可能完成的任务,进行表面的代码扫描("AppSec")或要求提供软件材料清单(SBOM)是一种极其低效的方法。在这种情况下,围绕数据的保护可以确保即使攻击者知道数据库的位置IP、用户名和密码,他们也无法进行入侵。因为数据存储的访问被限制在特定的应用、角色、IAM和云网络周边。同时,数据安全工具可以更深入地监测应用程序如何访问数据。
本文翻译自:https://threatpost.com/mcdonalds-email-blast-includes-password-to-monopoly-game-database/169346/如若转载,请注明原文地址