Empresa expõe dados pessoais de funcionários do McDonald's, afirma portal

1

Segundo o  site The Hack, um ambiente vulnerável de uma prestadora de serviços deixou exposto mais de 2,3 milhões de registros sensíveis da rede McDonald's Brasil — desse total, mais de 1 milhão de registros eram informações pessoais de funcionários. A denúncia foi de um pesquisador da firma de segurança francesa OnlineProtek, segundo o portal. 

A falha residia em um ambiente Elasticsearch desprotegido e com livre acesso para usuários não-autenticados. Examinando o material, o The Hack constatou que os principais dados expostos diziam respeito aos colaboradores da rede de restaurantes: era possível visualizar dados como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho.

Entre as mensagens enviadas pelos hackers está a informação de que foi possível identificar 76 mil registros de novas contratações (com menos dados pessoais), quase 12 mil demissões (indicando se o desligamento foi por justa causa ou não) e outras informações privilegiadas, incluindo uma listagem de 245 fornecedores e parceiros (como construtoras contratadas para erguer novas lojas da franquia). Neste último caso, foi possível visualizar nome da empresa, e-mail de contato e CNPJ.

O ambiente vulnerável também expôs o salário dos funcionários
Diferente de outros casos similares já analisados aqui no portal, o Elasticsearch em questão estava rigorosamente organizado, contando inclusive com um índice para auxiliar na navegação entre os diferentes tipos de informações. Sendo assim, conseguimos contabilizar o número exato de registros expostos: 2.354.933.

Notificada pelo The Hack, a Arcos Dorados — empresa responsável por franquear a marca McDonald's na América Latina — afirmou que o ambiente digital era de propriedade da DoxTI, um prestador de serviços que foi contratado para desenvolver um sistema de indicadores de performance.

Confira a nota da companhia na íntegra:

"A Companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense. Além disso, informa que não identificou invasão à sua infraestrutura".

1 COMENTÁRIO

Deixe um comentário para Arivaldo Costa de Araujo Cancelar resposta

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.