麦当劳的电子邮件包含大富翁游戏数据库的密码免费炸薯条的优惠券,特许经营权还不小心将密码插入到运行与英国大富翁VIP游戏链接的程序的麦当劳服务器。如果密码落入坏人之手,这些凭据可能会被滥用来欺骗玩家或在幕后造成大规模破坏。安全研究人员也发现了这个漏洞,他们也意识到了问题的严重性。麦当劳官方发现漏洞后,迅速更改了服务器密码。网络安全专家认为,人为漏洞几乎无法避免。这件事应该是一个很好的例子。企业应识别并锁定大量客户数据沉淀,积极采用零信任解决方案。现代数据存储安全产品为数据带来零信任原则,可以确保无故障点。麦当劳的重要服务器凭据泄露麦当劳大富翁VIP促销活动可追溯到1987年,是该企业的长期传统,客户购买菜单上的商品并使用特定代码领取门票,他们可以在麦当劳兑换这些门票。在网站上输入这些代码以兑换现金和奖品,今年在英国举行的麦当劳大富翁游戏将持续到10月19日。收集代码后,请转到印在获奖作品上的网站地址并输入所有代码以领取您的奖品,该公司的MonopolyVIP游戏网站标语说,并确保您的代码安全。但在9月6日,总部位于澳大利亚的亨特在推特上发布了麦当劳发送给获奖者的电子邮件的屏幕截图,其中包含纯文本的数据库密码。在TikTok上,另一位麦当劳大富翁VIP获奖者cretorsphereco发布了一段名为“我不想要这些优惠”的视频,他在视频中指出了凭证泄露的问题,并要求快餐集团了解这一事件,因为尽快。最终,麦当劳得到了消息,官方称密码现已更改,这要归功于亨特9月6日的推文泄露了密码。目前,官员最终如何将密码发布到群发邮件列表仍然是个谜。同时,麦当劳也在9月7日的一份声明中承认信息泄露。官方表示,由于行政失误,可能有一小部分顾客通过电子邮件收到了包含敏感信息的邮件。但到目前为止,没有任何个人信息被泄露。我们将立即联系受影响的用户,向他们保证这只是人为错误,目前他们的信息仍然安全。我们非常重视数据隐私的保护,对于此次失误可能造成的任何不必要的恐慌,我们深表歉意。人为错误和数据锁定安全研究人员认为,这些与人为相关的安全事件对任何规模的组织都是一个巨大的威胁。麦当劳表示,泄漏是由于人为错误造成的。这种情况比人们想象的要普遍得多,这就是为什么所有组织都必须采取措施减少人为错误带来的风险。这涉及各种检查过程,以便在没有渗透测试等安全保证的情况下,它不会被黑客入侵,数据也不会受到损害。同时,所有这些都有助于营造一种整体的安全意识文化。除了用户培训,网络安全专业人员还应首先考虑锁定大量用户数据,这对威胁行为者非常有吸引力。企业对此类漏洞最直接的反应是加倍降低应用程序安全性,但完美保护数亿行代码是不可能完成的任务,执行表面代码扫描(“AppSec”)或需要软件清单材料(SBOM)是一种极其低效的方法。在这种情况下,围绕数据的保护确保即使攻击者知道数据库的位置IP、用户名和密码,他们也无法闯入。因为数据存储访问仅限于特定的应用程序、角色、IAM和云网络边界。同时,数据安全工具可以对应用程序访问数据的方式进行更深入的监控。本文翻译自:https://threatpost.com/mcdonalds-email-blast-includes-password-to-monopoly-game-database/169346/如有转载请注明出处。
