TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Empresa expõe dados pessoais de funcionários do McDonald's, afirma portal

Postado em: 09/10/2019, às 21:30 por Redação

Segundo o  site The Hack, um ambiente vulnerável de uma prestadora de serviços deixou exposto mais de 2,3 milhões de registros sensíveis da rede McDonald's Brasil — desse total, mais de 1 milhão de registros eram informações pessoais de funcionários. A denúncia foi de um pesquisador da firma de segurança francesa OnlineProtek, segundo o portal. 

A falha residia em um ambiente Elasticsearch desprotegido e com livre acesso para usuários não-autenticados. Examinando o material, o The Hack constatou que os principais dados expostos diziam respeito aos colaboradores da rede de restaurantes: era possível visualizar dados como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho.

Entre as mensagens enviadas pelos hackers está a informação de que foi possível identificar 76 mil registros de novas contratações (com menos dados pessoais), quase 12 mil demissões (indicando se o desligamento foi por justa causa ou não) e outras informações privilegiadas, incluindo uma listagem de 245 fornecedores e parceiros (como construtoras contratadas para erguer novas lojas da franquia). Neste último caso, foi possível visualizar nome da empresa, e-mail de contato e CNPJ.

O ambiente vulnerável também expôs o salário dos funcionários
Diferente de outros casos similares já analisados aqui no portal, o Elasticsearch em questão estava rigorosamente organizado, contando inclusive com um índice para auxiliar na navegação entre os diferentes tipos de informações. Sendo assim, conseguimos contabilizar o número exato de registros expostos: 2.354.933.

Notificada pelo The Hack, a Arcos Dorados — empresa responsável por franquear a marca McDonald's na América Latina — afirmou que o ambiente digital era de propriedade da DoxTI, um prestador de serviços que foi contratado para desenvolver um sistema de indicadores de performance.

Confira a nota da companhia na íntegra:

"A Companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense. Além disso, informa que não identificou invasão à sua infraestrutura".

RSS
Facebook
Twitter
LinkedIn

Tags: , , ,

1 Comentário

  1. Será que isto e ação de hackers procurando um desafio independente, ou uma ação de espionagem industrial no ambiente de competidores?

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)

Top
Social media & sharing icons powered by UltimatelySocial