11:41
7/8/2020

McDonalds szeroko informuje o incydencie, jaki miał miejsce w obrębie jednego z systemów firmy — serwisu wyświetlającego grafiki pracownicze obsługiwanym przez agencję 24/7 Communication. Powodem wycieku było “omyłkowe umieszczenie kopii bazy danych w nieprzeznaczonym do tego folderze”.

O sprawie dowiedzieliśmy się jakiś czas temu, kiedy napisał do nas jeden z pracowników, przesyłając kopię wiadomości jaką do zatrudnionych w McDonalds skierowały kadry. I pewnie nie poświęcilibyśmy temu tematowi artykułu, bo incydent wpisuje się w dziesiątki incydentów, jakie regularnie zdarzają się w polskich spółkach, ale… zmieniliśmy zdanie. Bo McDonalds należy się publiczna pochwała za podejście do obsługi incydentu. Niech zatem inne firmy czytają i się uczą.

McDonalds nie chowa głowy w piasek

Firma nie tylko poinformowała pracowników wysyłając im obszerny, 7 stronnicowy dokument opisujący incydent:


…ale także opublikowała informację prasową o incydencie oraz …wykupiła ogłoszenie w prasie. Ogłoszenie. W. Prasie. Oto, co można znaleźć w dzienniku FAKT:

oraz otworzyła infolinię (22 255 22 10).

Podsumowując, dane pracowników z 5 lat były publicznie dostępne przez ponad rok, od stycznia 2019 do lipca 2020. Poza danymi określającymi stanowisko, współpracę, powody nieobecności pracownika, czyli typowymi kadrowymi, w pliku znajdowały się imiona i nazwiska i PESEL-e (lub numery paszportów) pracowników.

McDonald’s twierdzi, że dane nie zostały nigdzie upublicznione (jeszcze) i że monitoruje sieć pod kątem takiego upublicznienia.

Jadłem w McDonald’s czy moje dane są bezpieczne?

Wyciek nie dotyczy klientów. No chyba, że zamówili jedzenie przez UberEATS i są w gronie tej nieszczęśliwej grupy kilkuset osób, o których wycieku danych informowaliśmy wczoraj. ;)

Jestem pracownikiem McDonalda — co robić, jak żyć?

Zakres upublicznionych danych nie jest tak straszny, jak w wielu innych wyciekach. Nie znaczy to, że nie należy się nim przejmować — zwłaszcza, jeśli jest się tym pracownikiem, którego numer dokumentu znalazł się przy rekordzie wraz z PESEL-em.

O ile ujawnienie samego PESEL-u nie powinno nikogo narazić na jakiekolwiek szkody, to niestety wiemy, że wiele firm korzysta z tego identyfikatora jako “sekretu” i wykorzystuje w uwierzytelnianiu osoby np. podczas połączeń z infolinią. To oznacza, że dana ta przyda się przede wszystkim w atakach ukierunkowanych (czyli takich, w których ktoś chce “dokuczyć” konkretnej osobie). Znając czyjś PESEL można np. przekierować rozmowy telefoniczne ofiary na inny numer (co było wykorzystywane przez przestępców do okradania rachunków bankowych).

Dane wyciekają. Nie tylko z systemów pracodawców. Ostatnio opisaliśmy dość wiele wycieków i nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane, a nie zawsze ktoś odpowiednio opiekuje się tymi systemami lub czasem nawet z otoczonego opieką systemu na skutek nieprzewidywalnego błędu dane wyciekną. Spodziewamy się, że do końca roku o wielu nowych wyciekach. Prawdopodobnie będą w nich i Twoje dane. Warto wiedzieć, jak na taki wyciek poprawnie zareagować: co należy zrobić niezwłocznie, a co raczej nie ma sensu. Tylko takie, praktyczne i sprawdzone przez nas w boju rady znajdziesz w nagraniu naszego webinara o wyciekach danych. Z kodem WIESMAC możesz obejrzeć go w cenie dwóch McZestawów, czyli 49 PLN (kod ważny tylko do jutra).

PS. Korzystając z okazji, McDonaldsa chcieliśmy pochwalić za jeszcze jedną postawę. Noszenie przez pracowników maseczek. Poprawne noszenie. I przez każdego. Brawo. To, niestety, obecnie bardzo rzadki widok w gastronomii.

Przeczytaj także:



16 komentarzy

Dodaj komentarz
  1. Fajny wpis, ale nie zgodzę się z ostatnim Post Scriptum. Może to w waszym mieście tak jest ale nie wszędzie. Przejeżdżałem wczoraj przez Dzierżoniów i większość pracowników miała maseczki tylko na ustach bez nosa.

    • @Arnold, powiem więcej.

      Z tego co się orientuję, to maseczki mają obowiązek nosić tylko pracownicy, którzy mają styczność z klientem – czyli na “serwisie”. Pracujący na kuchni, takiego obowiązku nie mają.

  2. Aby w ogóle mieć dostęp do Strefy McDonalds trzeba być pracownikiem i w danym momencie być zatrudnionym w jednej z restauracji. Liczba osób która ma w tym momencie dostęp to ok 30 tyś osób z całej Polski.
    Jest szansa, że mimo to baza nie wycieknie do internetu, chociaż moje dane tam były…
    A dostęp do Strefy McDolandls miałem jeszcze przez ok 1,5 miesiąca od zakończenia pracy.
    Dodatkowo jeśli ktoś zna pracowników z imienia i nazwiska oraz wie w której restauracji pracuje dana osoba, może próbować dostać się i jest szansa, że uda się.
    W mojej ostatniej restauracji, dostęp do Strefy McDonalds miało mniej niż połowa pracowników. Tak więc próbować zawsze można

    • Po pierwsze i ostatnie McDonalds nie jest restauracją tylko BAR-em. Dla niekumatych taka buda z kebabami i frytkami ale większa.

  3. Ah tak, rzeczywiście się pięknie zachowali. Szkoda K$%@& tylko, że nie pomyśleli o pracownikach, którzy już nie pracują a pracowali w tamtym okresie. Ja o sytuacji dowiedziałam się z uwaga…. śmieszkowej grupy na fb. I nie, to nie jest tak, że nie dali mi znać bo moje dane są bezpieczne. Po wykonaniu telefonu na podany numer otrzymałam informację, że moje dane również były udostępnione. Śmiech na sali.

  4. Nie, niekoniecznie nie dotyczy klientów. Napisano, że nie dotyczy gości. Gość jest osobą, którą się zaprasza, daje jeść, pogada się i nie wymaga płatności. Klient to ktoś, kto kupuje burgera i płaci.

    • Nie, klient to obywatel starożytnego Rzymu, będący pod opieką prawną patrycjusza, a nie osoba która przychodzi do lokalu i coś kupuje taka osobę nazywa się kupującym lub kupującą.

      https://sjp.pl/go%C5%9B%C4%87
      Definicja nr 3.

    • Wg terminologii McDonald’s nie ma klientów , to są goście, wie to każdy kto tam chociaż 10 minut pracował.

    • Oni udaja ze sa restauracja a nie buda z junk foodem. Innym wydaje sie ze sa malpa albo Napoleonem. Potakiwac i unikac kontaktow… proste.
      Co do wycieku – zamiast robic publicity dla ‘firmy w czerwonym’ to moze ktos by zerknal czy ten mechanizm planera dyzurow obslugiwal tez inne firmy. Skoro popelnili blad w tym obszarze to czy w innych nie? Moze po prostu inni schowali glowy w piasek i udaja ze nic sie nie stalo?

  5. Niech się cieszą że nie wyciekło do neta.

  6. Po cholerę w ogóle trzymać numery PESEL, które są unikalne i niezmienialne, na maszynie podłączonej do Internetu?
    Powinny być numery pracowników, i to by wystarczyło. W razie wycieku o wiele mniejszy problem.

  7. Ten cholerny klaun wygląda jak Pennywise

  8. Rozumiem ze mowicie o ‘firmie w czerwonym’ ale czy nie warto sie spytac tej firmy 24/7 Communications czy obsluguja podobnie inne firmy? Co one na taki stan rzeczy?

  9. Gdzie info n/t wycieku z Intela?

    • Tam gdzie zawsze, na Twitteerze, wraz z informacją, że Intel nie traktuje tego jako poważny wyciek, bo informacje były dostępne dla partnerów na portalu dla partnerów.

  10. Mają dobry chwyt marketing’owy w nowej reklamie TV: ” Wasze bezpieczeństwo jest w naszych rękach”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: