McDonald’s révèle une brèche de données affectant ses clients et employés

0

McDonald’s, la plus grande chaîne de fast-food au monde, a révélé une violation de données après que des hackers aient piraté ses systèmes et volé des informations appartenant à des clients et des employés aux États-Unis, en Corée du Sud et à Taïwan.

En tant qu’entreprise mondiale, McDonald’s sert près de centaines de millions de clients chaque jour dans plus de 39 000 emplacements dans plus de 100 pays, dont environ 14 000 restaurants aux États-Unis seulement.

Aucune information de paiement des clients exposée

Récemment, la société a déclaré que des pirates informatiques avaient violé ses systèmes sur plusieurs marchés dans le monde, comme cela a été découvert à la suite d’une enquête menée par des consultants en sécurité externes.

McDonald’s a également déclaré aux employés américains que les attaquants ne pouvaient voler que des informations de contact professionnelles appartenant à des employés et à des franchises américaines qui n’étaient ni personnelles ni sensibles, comme l’a signalé pour la première fois le Wall Street Journal.

Les pirates informatiques ont également volé des informations personnelles (y compris des noms, des e-mails, des numéros de téléphone et des adresses) de clients en Corée du Sud et à Taïwan,

Cependant, le nombre de documents clients exposés lors de l’incident était faible et la violation n’a eu aucune incidence sur les informations de paiement des clients.

« Bien que nous ayons pu fermer l’accès rapidement après identification, notre enquête a déterminé qu’un petit nombre de fichiers a été consulté, dont certains contenaient des données personnelles », a déclaré McDonald’s dans un communiqué.

« En se basant sur notre enquête, les données personnelles des clients ont seulement été accédé pour la Corée du Sud et Taïwan, et ils prendront des mesures pour informer les régulateurs et les clients répertoriés dans ces fichiers. »

« Aucune information de paiement client ne figurait dans ces fichiers. Dans les prochains jours, quelques marchés supplémentaires prendront des mesures pour traiter les fichiers contenant des données personnelles des employés. »

La chaîne de fast-food informe actuellement les clients concernés et les autorités compétentes de tous les marchés concernés.

McDonald’s comprend l’importance de mesures de sécurité efficaces pour protéger les informations, c’est pourquoi nous avons fait des investissements substantiels pour mettre en œuvre plusieurs outils de sécurité dans le cadre de notre défense de cybersécurité approfondie. Ces outils nous ont permis d’identifier et de contenir rapidement les récentes activités non autorisées sur notre réseau. Une enquête approfondie a été menée et nous avons travaillé avec des tiers expérimentés pour mener cette enquête.

McDonald’s

McDonald’s n’en est pas à son premier rodéo

Ce n’est pas la première fois que McDonald’s doit faire face à un incident de sécurité ces dernières années.

En 2017, la société américaine a été forcée de corriger une vulnérabilité de script intersite (XSS) affectant son site Web officiel et exposant les mots de passe en texte brut des clients.

Comme l’a révélé le chercheur en sécurité Tijme Gommers qui a découvert le bogue, les attaquants auraient pu exploiter la faille de sécurité en créant un lien malveillant.

Lorsque ce lien aurait été cliqué par une cible, il aurait extrait et déchiffré les données de mot de passe d’un cookie local et les aurait envoyé au pirate informatique en texte clair.

L’extraction des mots de passe de n’importe quel utilisateur était possible car McDonald’s stockait les informations de mot de passe dans un fichier cookie protégé à l’aide de la même clé et du même vecteur d’initialisation pour tous les utilisateurs.

Par ailleurs, le géant du jeu Electronic Arts (EA) a également confirmé récemment que des cybercriminels avaient piraté son réseau et volé « une quantité limitée de code et d’outils associés ».

Laisser un commentaire