McDonald’s UK: w mailach do uczestników gry znalazły się… loginy/hasła do baz danych

Monopoly VIP to gra udostępniana klientom McDonalda w Wielkiej Brytanii. W skrócie można wpisać tam kod dostępny po zakupie produktów i dzięki temu wygrać nagrody.

Część osób, która rzeczywiście je wygrała, dostała w informującym o fakcie e-mailu pewien bonus: dane logowania do produkcyjnej/stagingowej bazy danych:

Hasło do bazy w treści maila? Tego jeszcze nie chyba nie było ;)

Badacz, który zgłosił problem, sprawdził że baza produkcyjna nie była dostępna z Internetu, ale stagingowa – już tak. Hacker po podłączeniu się do tej ostatniej od razu się rozłączył i zgłosił problem do właściciela systemu (aby nie narazić się na sankcje prawne).

W oficjalnym komunikacie McDonalda czytamy:

Due to an administrative error, a small number of customers received details for a staging website by email. No personal details were compromised or shared with other parties.

–ms