mcdonalds
McDonald's fant det "mistenkelig" at en kunde ville rapportere et sikkerhetsproblem.

Annonse


McDonalds sendte påloggingsinformasjon til kundene

McDonalds’ kjørte en kampanje med premier overfor kundene sine, men de som vant fikk noe mer enn premien de var lovet. Burgerkjeden sendte ved en feil vinnerne påloggingsinformasjon til databasene som ble brukt til å kjøre kampanjen.

Vinneropplysninger med påloggingsinformasjon

Den som rapporterte feilen, Connor Greig er tidligere dataingeniør ved Hewlett-Packard. Han reagerte på at kodestrenger som inneholdt påloggingsinformasjon så ut til å være blitt “formatert inn i e-posten ved et uhell”.

I likhet med mange andre liker Greig som forøvrig er grunnlegger av webplattformen Creatorsphere, å spise på McDonald’s. En av kjedens siste kampanjer gikk ut på at gjestene sammen med burgerne fikk McDonalds’s-kort med påtrykte kampanjekoder som de tastet inn på McDonald’s nettsted. MacDonald’s varslet så på e-post om de hadde vunnet eller ei.

Tilkoblingsstreng for Windows Azure

De heldige kunne vinne en rekke varer og tjenester som kontanter, reiser, enda mere McDonald’s-mat og blant annet et seks måneders abonnement på det nye videostrømme-nettstedet NextUp Comedy. 

Annonse


Greig ble ganske overrasket da han gjenkjente en for ham velkjent tilkoblingsstreng for Windows Azure i en e-post der han ble fortalt at han var den heldige vinner av et halvårs abonnement på NextUp Comedy.

Komplett med bruker-ID og passord

Denne kategorien forteller meg hva databasenavnet er og denne ‘persists security info true’ burde være ‘false’. Når du markerer den som ‘true’ utsender den legitimasjonopplysningene. Og her er bruker-ID og passord til produksjonen.

Connor Greig

Grieg bekymret seg over konsekvensene og prøvde å komme i kontakt med McDonald’s, men selskapet har ingen security.txt på nettstedet. Security.txt inneholder kontaktinformasjon hvor sikkerhetsproblemer kan rapporteres direkte.

Zero respons fra hamburgerfolket

Da han prøvde å ringe McDonald’s hovedkontor kom han til en ferdig innspilt melding som fortalte ham at alle jobbet hjemmefra. Deretter sendte han e-post til et dusin mailadresser som han fant på McDonald’s, Storbritannia. Ingen svarte.

I frustrasjon la han ut en video på TikTok og ba McDonald’s svare.

McDonald’s responderte ved en glipp

En person svarte til slutt på e-postene hans ved et uhell da han la Greig på kopi i en e-post som beskrev forsøkene på å rapportere feilen som “mistenkelig” under emnet “ansvarlig sikkerhetsinformasjon”. Etter litt frem og tilbake kunne Greig snakke med en person som forsto hva som foregikk og kunne fikse problemet.

Vi vil kontakte de berørte og forsikre dem om at dette var en menneskelig feil og at informasjonen deres er trygg. Vi tar personvern på alvor og beklager all unødig bekymring denne feilen har forårsaket.

McDonald’s

“Stol ikke på klovner”

Mannen bak “Have I Been Pwned?” Troy Hunt advarte på Twitter etter at saken ble kjent, mot å stole på klovner: “Sett aldri en klovn til å sikre dine datastrenger.”

Det er ikke klart hvilken type opplysninger som skjulte seg i databasen; det kunne for eksempel være ubrukte koder som utløste premie-hamburgere, “garantert fet på et halvår”?

Annonse