Segundo o site The Hack, um ambiente vulnerável de uma prestadora de serviços deixou exposto mais de 2,3 milhões de registros sensíveis da rede McDonald's Brasil — desse total, mais de 1 milhão de registros eram informações pessoais de funcionários. A denúncia foi de um pesquisador da firma de segurança francesa OnlineProtek, segundo o portal.
A falha residia em um ambiente Elasticsearch desprotegido e com livre acesso para usuários não-autenticados. Examinando o material, o The Hack constatou que os principais dados expostos diziam respeito aos colaboradores da rede de restaurantes: era possível visualizar dados como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho.
Entre as mensagens enviadas pelos hackers está a informação de que foi possível identificar 76 mil registros de novas contratações (com menos dados pessoais), quase 12 mil demissões (indicando se o desligamento foi por justa causa ou não) e outras informações privilegiadas, incluindo uma listagem de 245 fornecedores e parceiros (como construtoras contratadas para erguer novas lojas da franquia). Neste último caso, foi possível visualizar nome da empresa, e-mail de contato e CNPJ.
O ambiente vulnerável também expôs o salário dos funcionários
Diferente de outros casos similares já analisados aqui no portal, o Elasticsearch em questão estava rigorosamente organizado, contando inclusive com um índice para auxiliar na navegação entre os diferentes tipos de informações. Sendo assim, conseguimos contabilizar o número exato de registros expostos: 2.354.933.
Notificada pelo The Hack, a Arcos Dorados — empresa responsável por franquear a marca McDonald's na América Latina — afirmou que o ambiente digital era de propriedade da DoxTI, um prestador de serviços que foi contratado para desenvolver um sistema de indicadores de performance.
Confira a nota da companhia na íntegra:
"A Companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense. Além disso, informa que não identificou invasão à sua infraestrutura".
Será que isto e ação de hackers procurando um desafio independente, ou uma ação de espionagem industrial no ambiente de competidores?