Dois hambúrgueres, alface, queijo, molho especial, milhões de dados num pão com gergelim.

Tamanho da fonte: -A+A

Dados estavam em uma URL aberta na Internet. Foto: Pexels.

Uma falha de um prestador de serviços de TI causou o vazamento de 2,3 milhões de registros sensíveis do McDonald’s Brasil, sendo quase a metade deles de funcionários, incluindo dados como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho.

O vazamento foi descoberto por uma empresa de segurança francesa, a OnlineProtek, e revelada pelo site The Hack, que tem esse assunto entre as suas especialidades. 

O problema estava no Elasticsearch, uma ferramenta open source utilizada em servidores para facilitar a consulta de grandes volumes de dados. 

Por padrão, ela é configurada com acesso público, e assim ficou no caso dos dados do McDonalds, sendo acessível para qualquer um que tivesse a URL, sem necessidade de autenticação.

Assim, dos dados do McDonalds estavam em um mecanismo de busca, permitindo a qualquer um pesquisar  2.354.933 registros, incluindo 76 mil registros de novas contratações (com menos dados pessoais), quase 12 mil demissões (indicando se o desligamento foi por justa causa ou não) e outras informações privilegiadas, incluindo uma listagem de 245 fornecedores e parceiros (como construtoras contratadas para erguer novas lojas da franquia). 

Procurada pelo The Hack, a Arcos Dorados, empresa responsável por franquear a marca McDonald’s na América Latina, afirmou que a sua infraestrutura não foi invadida e que o ambiente vulnerável em questão era de propriedade da DoxTI, um prestador de serviços que foi contratado para desenvolver um sistema de indicadores de performance. 

“A companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense”, aponta a nota. 

A DoxTI também enviou um comunicado oficial para o The Hack, afirmando que acionou os protocolos de segurança disponíveis depois de ser contatada e também contratou uma consultoria independente para realizar uma investigação dos fatos.

De acordo com as regras da Lei Geral de Proteção de Dados (LGPD), que ainda não entrou em vigor, a Arcos Dorados poderia ser penalizada com uma multa de R$ 50 milhões ou ou 2% de seu faturamento bruto anual — o que for maior. O regulamento passa a valer em agosto de 2020.

Editor at Baguete Diário

Assine nossa newsletter diária!

Assine nossa newsletter diária!

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui