Ένα σφάλμα στο παιχνίδι Monopoly VIP των McDonald’s στο Ηνωμένο Βασίλειο προκάλεσε την αποστολή των ονομάτων σύνδεσης και των κωδικών πρόσβασης για τη βάση δεδομένων του παιχνιδιού σε όλους τους νικητές.
Δείτε επίσης: Google: Καταργεί δημοφιλή Android apps που έκλεβαν Facebook credentials
Το McDonald’s UK λάνσαρε το δημοφιλές παιχνίδι Monopoly VIP στις 25 Αυγούστου, όπου οι πελάτες μπορούν να εισάγουν κωδικούς που βρίσκονται σε αγορές ειδών διατροφής για να κερδίσουν ένα βραβείο. Αυτά τα βραβεία περιλαμβάνουν 100.000 £ σε μετρητά, μια βίλα στην Ίμπιζα ή διακοπές στο Ηνωμένο Βασίλειο, υδρομασάζ και πολλά άλλα.
Δυστυχώς, το παιχνίδι αντιμετώπισε θέμα το Σαββατοκύριακο αφού ένα σφάλμα προκάλεσε την αποστολή των ονομάτων χρήστη και των κωδικών πρόσβασης των database servers σε email εξαργύρωσης που αποστέλλονται στους νικητές.
Ένα απροσδιόριστο screenshot του email που στάλθηκε στους νικητές δείχνει ένα σφάλμα exception, συμπεριλαμβανομένων ευαίσθητων πληροφοριών για την εφαρμογή ιστού.
Δείτε επίσης: Αυστραλός φυλακίζεται για λειτουργία συνδρομητικών υπηρεσιών με κλεμμένα credentials
Αυτές οι πληροφορίες περιλάμβαναν hostnames για βάσεις δεδομένων Azure SQL και τα ονόματα σύνδεσης και τους κωδικούς πρόσβασης των βάσεων δεδομένων, όπως εμφανίζονται στο παρακάτω ανασχηματισμένο μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται σε νικητή VIP της Monopoly.
Ο νικητής του βραβείου που κοινοποίησε το email είπε ότι ο production server απενεργοποιήθηκε με τείχος προστασίας, αλλά ότι μπορούσαν να έχουν πρόσβαση στον staging server χρησιμοποιώντας τα credentials που περιλαμβάνονται.
Δεδομένου ότι αυτές οι βάσεις δεδομένων ενδέχεται να περιείχαν κερδισμένους κωδικούς επάθλων, θα μπορούσαν να επέτρεπαν σε ένα αδίστακτο άτομο να κατεβάσει αχρησιμοποίητους κωδικούς για να διεκδικήσει τα έπαθλα.
Ευτυχώς για τα McDonald’s, το άτομο αποκάλυψε υπεύθυνα το ζήτημα με τα McDonald’s. Δυστυχώς, αυτό δεν ήταν ένα μεμονωμένο ζήτημα, καθώς άλλοι χρήστες ανέφεραν ότι είδαν τα credentials και έφτασαν στο σημείο να μοιραστούν την εμπειρία τους σε ένα βίντεο στο TikTok.
Δείτε επίσης: Χάκερς καταχρώνται Google Forms / Telegram για τη συλλογή phished credentials
Ενώ το σφάλμα ανέφερε σαφώς ότι διέρρευσαν τόσο τα credentials ενός server production όσο και του staging, το McDonald’s είπε στο BleepingComputer ότι ήταν μόνο ο staging server που ήταν εκτεθειμένος.
Πηγή πληροφοριών: bleepingcomputer.com
