Bug em promoção do McDonald's expõe dados de desenvolvedores

Bug em promoção do McDonald's expõe dados de desenvolvedores

Por Dácio Castelo Branco | Editado por Claudio Yuge | 08 de Setembro de 2021 às 23h20
Carlos Macias/Unsplash

Um bug no aplicativo da promoção Monopoly no McDonald's do Reino Unido acabou enviando para o e-mail de usuários vencedores as credencias de acesso ao banco de dados do aplicativo.

A promoção Monopoly do McDonald's adapta um dos jogos de tabuleiro mais famosos do mundo (que aqui no Brasil é mais conhecido pelo nome de Banco Imobiliário) para os restaurantes de fast food. Nela, toda compra no estabelecimento, quando registrada no aplicativo da campanha, pode render um prêmio para o participante. As recompensas vão desde meses de assinatura de serviços de streaming até £ 1 mil (aproximadamente R$ 7 mil na cotação atual).

Quando um código premiado é inserido no aplicativo, um e-mail é enviado ao usuário registrado. Porém, uma falha no software durante o sábado acabou fazendo com que as mensagens enviadas aos ganhadores viessem junto de nomes de usuário e senhas registradas no banco de dados do app.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Imagem do e-mail com as credencias dos desenvolvedores. (Imagem: Reprodução/Bleeping Computer)

A imagem com o e-mail cheio de credenciais vazadas foi enviada para o site Bleeping Computer por Troy Hunt, criador do site Have I Been Pwned. Hunt, por sua vez, obteve a imagem a partir de um participante da promoção que entrou em contato com ele.

O caso não foi isolado

Além das credenciais, os endereços do host do banco de dados do app também estavam no e-mail. O participante que compartilhou a mensagem com Troy Hunt chegou a tentar acessar os endereços a nível de desenvolvedor, mas um firewall o impediu. Porém, ele conseguiu acesso ao ambiente de testes do software. Segundo o McDonalds, nenhuma senha de usuários do app foi vazada. A rede de restaurantes também afirmou que nenhum participante que teve acesso a falha conseguiu códigos premiados a partir dela.

@creatorsphereco

I don’t want these. Please answer emails McD. #cybersecurity #mcdonalds #disclosure #help #techtok #monopoly

♬ original sound - CreatorSphere.co

Outros usuários chegaram a relatar nas redes sociais sobre o erro, inclusive com vídeos no TikTok. Em comunicado enviado para o site Bleeping Computer, o McDonald's falou que irá entrar em contato com os desenvolvedores afetados, garantindo que suas informações continuam seguras.

Fonte: Bleeping Computer, The Sun

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.