Bug em promoção do McDonald's expõe dados de desenvolvedores
Por Dácio Castelo Branco | Editado por Claudio Yuge | 08 de Setembro de 2021 às 23h20
Um bug no aplicativo da promoção Monopoly no McDonald's do Reino Unido acabou enviando para o e-mail de usuários vencedores as credencias de acesso ao banco de dados do aplicativo.
- McDonald's substitui atendentes humanos do drive-thru por bots em loja nos EUA
- Falha de segurança expõe dados do McDonald’s nos EUA, Coreia do Sul e Taiwan
- A conspiração por trás das máquinas de sorvete do McDonald’s
A promoção Monopoly do McDonald's adapta um dos jogos de tabuleiro mais famosos do mundo (que aqui no Brasil é mais conhecido pelo nome de Banco Imobiliário) para os restaurantes de fast food. Nela, toda compra no estabelecimento, quando registrada no aplicativo da campanha, pode render um prêmio para o participante. As recompensas vão desde meses de assinatura de serviços de streaming até £ 1 mil (aproximadamente R$ 7 mil na cotação atual).
Quando um código premiado é inserido no aplicativo, um e-mail é enviado ao usuário registrado. Porém, uma falha no software durante o sábado acabou fazendo com que as mensagens enviadas aos ganhadores viessem junto de nomes de usuário e senhas registradas no banco de dados do app.
A imagem com o e-mail cheio de credenciais vazadas foi enviada para o site Bleeping Computer por Troy Hunt, criador do site Have I Been Pwned. Hunt, por sua vez, obteve a imagem a partir de um participante da promoção que entrou em contato com ele.
O caso não foi isolado
Além das credenciais, os endereços do host do banco de dados do app também estavam no e-mail. O participante que compartilhou a mensagem com Troy Hunt chegou a tentar acessar os endereços a nível de desenvolvedor, mas um firewall o impediu. Porém, ele conseguiu acesso ao ambiente de testes do software. Segundo o McDonalds, nenhuma senha de usuários do app foi vazada. A rede de restaurantes também afirmou que nenhum participante que teve acesso a falha conseguiu códigos premiados a partir dela.
Outros usuários chegaram a relatar nas redes sociais sobre o erro, inclusive com vídeos no TikTok. Em comunicado enviado para o site Bleeping Computer, o McDonald's falou que irá entrar em contato com os desenvolvedores afetados, garantindo que suas informações continuam seguras.
Fonte: Bleeping Computer, The Sun