O McDonald’s, maior rede de restaurantes (e franquias) do mundo, revelou, na sexta-feira (11) que identificou acessos não autorizados em seus sistemas, que resultaram no furto de dados de franqueados da rede nos Estados Unidos, Coreia do Sul e Taiwan.

De acordo com o The Wall Street Journal, que teve acesso a um comunicado enviado aos funcionários da empresa, foram roubados dados como contato de funcionários e informações de franqueados, além de informações como capacidade de assentos e metragem quadrada de alguns restaurantes. Segundo o jornal, o acesso dos cibercriminosos foi interrompido uma semana após sua identificação.

Já segundo o BleepingComputer, que entrou em contato com o McDonald’s EUA, informa que essas informações de contato incluem nomes, e-mails, número de telefone e endereço de funcionários da Coreia do Sul e Taiwan. Já o vazamento envolvendo os EUA incluem informações de franqueados e dados de metragem quadrada de algumas lojas.

“Nossa investigação determinou que um pequeno número de arquivos foi acessado, alguns dos quais continham dados pessoais […] Com base em nossa investigação, apenas a Coreia e Taiwan tiveram os dados pessoais dos clientes acessados e eles tomarão medidas para notificar os reguladores e os clientes listados nesses arquivos […] Nenhuma informação de pagamento de cliente estava contida nesses arquivos”, disse um porta-voz da empresa ao BleepingComputer.

O McDonald’s recebe, em suas mais de 39 mil unidades espalhadas em mais de 100 países (só os EUA, são mais de 14 mil lojas.), centenas de milhões de clientes diariamente. A empresa informou que já notificou as autoridades e que está investigando o caso.

Em 2019, a The Hack publicou uma reportagem exclusiva sobre um ambiente vulnerável (Elasticsearch desprotegido) do McDonald’s que deixou exposto mais de 2,3 milhões de dados de rede no Brasil, sendo que desse total 1 milhão eram informações pessoais de funcionários da rede.

Já em 2017, a empresa teve que corrigir um erro em seu site oficial, que permitia que qualquer pessoa acessasse informações pessoais de clientes da empresa, através de uma vulnerabilidade de cross-site scripting (XSS).


Fontes: The Wall Street Journal; BleepingComputer.