Mais de 2,3 milhões de registros sensíveis da rede McDonald’s Brasil estavam sem alguma proteção de segurança. Desse total, mais de 1 milhão de dados eram informações pessoais de funcionários. A denúncia, publicada pelo portal de segurança The Hack, foi feita por um pesquisador que encontrou a falha. As informações estavam armazenadas em um ambiente Elasticsearch, […]
Mais de 2,3 milhões de registros sensíveis da rede McDonald’s Brasil estavam sem alguma proteção de segurança. Desse total, mais de 1 milhão de dados eram informações pessoais de funcionários. A denúncia, publicada pelo portal de segurança The Hack, foi feita por um pesquisador que encontrou a falha.
As informações estavam armazenadas em um ambiente Elasticsearch, ferramenta utilizada em servidores para facilitar a consulta de bases de dados gigantescas. Por padrão, ela é instalada com acesso público e cabe ao time de segurança criar senhas ou outro tipo de restrição. Como o processo não foi realizado nessa base, bastava ter acesso ao link completo da url que o endereço levava diretamente para a visualização dos dados.
De acordo com a equipe do The Hack, foi possível conferir informações como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho de colaboradores. Além disso, foi possível acessar 76 mil registros de novas contratações, 12 mil fichas de demissões e uma lista com 245 fornecedores e parceiros, com dados nome da empresa, email de contato e CNPJ.
Procurada, a Arcos Dorados (franqueadora do McDonald’s na América Latina), informou que o ambiente desprotegido pertencia a um prestador de serviço chamado DoxTI, contratado para desenvolver um sistema de indicadores de performance.
A ‘Arcos’ divulgou a seguinte nota: “A Companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense. Além disso, informa que não identificou invasão à sua infraestrutura.
Já a DoxTI divulgou outro recado: “A Doxti esclarece que tão logo foi contactada pelo site The Hack acionou os protocolos de segurança disponíveis. Além disso, a empresa contratou uma consultoria independente para realizar uma investigação dos fatos.”
Teoricamente, seria possível acessar todos os dados dos usuários e, com base neles, usá-los para cometer fraudes. Mas, até o momento, não há indícios de que as informações foram acessadas por pessoas mal-intencionadas.
Caso a Lei Geral de Proteção de Dados, que será implementada em agosto de 2020, já estivesse em vigor, a Arcos Dorados poderia ser penalizada com uma multa de R$ 50 milhões ou 2% de seu faturamento bruto anual — a penalidade que gerar mais dinheiro.
