マクドナルド、モノポリーVIPデータベースのパスワードを当選者全員にメール送信していたことが発覚。ステージング環境にログインできる状態に

イギリスのマクドナルドの「モノポリーVIP」ゲームのバグにより、ゲームのデータベースのログイン名とパスワードが当選者全員に送信されてしまっていたことがわかりました。

英国マクドナルドは、8月25日に人気のモノポリーVIPゲームを開始し、このゲームでは購入した食品に記載されているコードを入力すると、賞品を獲得できるチャンスがあるキャンペーンの一部となっています。

このゲームでは、現金10万ポンド、イビザ島の別荘やLay-Z Spaのホットタブなどの賞品が用意されています。

残念なことに、このゲームはバグが発生し、本番用とステージング用の両方のデータベース・サーバーのユーザー名とパスワードが、賞品獲得者に送られる賞品引き換えメールに記載されてしまったため、問題が発覚しました。

トロイ・ハント氏が投稿した当選者に送られたメールのスクリーンショットには、ウェブアプリケーションの機密情報を含む例外エラーが表示されていました。

この情報には、モノポリーVIP当選者に送られた以下の編集済みEメールに表示されているように、Azure SQLデータベースのホスト名やデータベースのログイン名とパスワードが含まれていました。

このメールをトロイ・ハントと共有した当選者は、本番サーバーはファイアウォールで遮断されていたが、含まれていた認証情報を使ってステージング・サーバーにアクセスできたと述べています。

問題の深刻さと、連絡を取ることが緊急の課題であるかどうかを判断するために、本番サーバーに接続しようとしましたが、幸運なことに、彼らにはファイアウォールのルールが設定されていました。

しかし、私はステージング環境にアクセスしましたが、明らかな理由ですぐに切断しました

これらのデータベースには賞品のコードが含まれている可能性があるため、悪意のある人物が未使用のゲームコードをダウンロードして賞品を要求することができたのです。

マクドナルドにとって幸運だったのは、この人物が責任を持ってこの問題をマクドナルドに開示したことで、後にステージングサーバーのパスワードがすぐに変更されたことがわかったことです。

残念ながら、他のユーザーも認証情報を見たことを報告し、TikTokのビデオでその体験を共有するまでに至りました。

本番サーバーとステージングサーバーの両方の認証情報が流出したことがエラーに明記されていましたが、マクドナルドは流出したのはステージングサーバーのみであると説明しています。

管理上のミスにより、少数のお客様がステージング・ウェブサイトの詳細を電子メールで受け取りました。個人情報が漏洩したり、第三者と共有されたりすることはありません

影響を受けたお客様には、これが人為的なミスであり、お客様の情報が安全であることをご理解いただくためにご連絡いたします。当社はデータ・プライバシーを非常に重要視しており、今回のミスにより過度のご心配をおかけしたことをお詫び申し上げます

とMcDonalds社の声明を発表しました。

Leave a Reply

Your email address will not be published.