Dados estavam em uma URL aberta na Internet. Foto: Pexels.
Uma falha de um prestador de serviços de TI causou o vazamento de 2,3 milhões de registros sensíveis do McDonald's Brasil, sendo quase a metade deles de funcionários, incluindo dados como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho.
O vazamento foi descoberto por uma empresa de segurança sa, a OnlineProtek, e revelada pelo site The Hack, que tem esse assunto entre as suas especialidades.
O problema estava no Elasticsearch, uma ferramenta open source utilizada em servidores para facilitar a consulta de grandes volumes de dados.
Por padrão, ela é configurada com o público, e assim ficou no caso dos dados do McDonalds, sendo ível para qualquer um que tivesse a URL, sem necessidade de autenticação.
Assim, dos dados do McDonalds estavam em um mecanismo de busca, permitindo a qualquer um pesquisar 2.354.933 registros, incluindo 76 mil registros de novas contratações (com menos dados pessoais), quase 12 mil demissões (indicando se o desligamento foi por justa causa ou não) e outras informações privilegiadas, incluindo uma listagem de 245 fornecedores e parceiros (como construtoras contratadas para erguer novas lojas da franquia).
Procurada pelo The Hack, a Arcos Dorados, empresa responsável por franquear a marca McDonald’s na América Latina, afirmou que a sua infraestrutura não foi invadida e que o ambiente vulnerável em questão era de propriedade da DoxTI, um prestador de serviços que foi contratado para desenvolver um sistema de indicadores de performance.
“A companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense”, aponta a nota.
A DoxTI também enviou um comunicado oficial para o The Hack, afirmando que acionou os protocolos de segurança disponíveis depois de ser contatada e também contratou uma consultoria independente para realizar uma investigação dos fatos.
De acordo com as regras da Lei Geral de Proteção de Dados (LGPD), que ainda não entrou em vigor, a Arcos Dorados poderia ser penalizada com uma multa de até 2% do faturamento bruto anual, podendo chegar a um máximo de R$ 50 milhões.
Maurício Renner 5wt6n
Editor at Baguete Diário