McDonald's révèle le mot de passe de la base de données VIP Monopoly aux gagnants

  • Principal
  • Nouvelles
  • McDonald's révèle le mot de passe de la base de données VIP Monopoly aux gagnants

Un bogue dans le jeu McDonald's VIP Monopoly au Royaume-Uni a entraîné l'envoi à tous les gagnants de noms de connexion et de mots de passe pour la base de données du jeu.

Après avoir sauté un an en raison de COVID-19, McDonald's UK a lancé son populaire jeu Monopoly VIP le 25 août, où les clients peuvent entrer des codes trouvés sur les achats de nourriture pour avoir une chance de gagner un prix. Ces prix comprennent 100 000 £ en espèces, une villa à Ibiza ou des vacances au Royaume-Uni, des bains à remous Lay-Z Spa et plus encore.

Malheureusement, le jeu a rencontré un problème au cours du week-end après qu'un bogue a fait apparaître un nom d'utilisateur et un mot de passe pour les serveurs de base de données de production et de mise en scène dans les e-mails de réclamation de prix envoyés aux lauréats.

Une capture d'écran non éditée de l'e-mail envoyé aux lauréats a été partagée avec BleepingComputer de chasser troie montrant une erreur d'exception, y compris des informations sensibles pour l'application Web.

Ces informations comprenaient les noms d'hôte pour les bases de données Azure SQL et les identifiants et mots de passe des bases de données, comme indiqué dans l'e-mail expurgé suivant envoyé à un gagnant du monopole VIP.

E-mail de récompense McDonalds Monopoly VIP avec informations d'identification de la base de données

E-mail de récompense VIP McDonald's Monopoly avec informations d'identification de la base de données

Le lauréat qui a partagé l'e-mail avec Troy Hunt a déclaré que le serveur de production était protégé par un pare-feu, mais qu'il pouvait accéder au serveur de test à l'aide des informations d'identification fournies.

'J'ai essayé de me connecter à la production pour évaluer la gravité du problème et si le contact était urgent ou non, mais heureusement pour eux, ils avaient un ensemble de règles de pare-feu', a déclaré la personne à Troy Hunt dans un e-mail partagé avec BleepingComputer.

J'avais toujours accès à la mise en scène, dont je me suis immédiatement déconnecté pour des raisons évidentes.

Étant donné que ces bases de données peuvent contenir des codes de prix gagnants, il est possible qu'une personne peu scrupuleuse télécharge des codes de jeu inutilisés pour réclamer des récompenses.

Heureusement pour McDonald's, la personne responsable a divulgué le problème avec McDonald's, et bien qu'elle n'ait reçu aucune réponse, elle a découvert plus tard que le mot de passe temporaire du serveur avait été changé tôt.

Malheureusement, ce n'était pas un problème isolé, car d'autres utilisateurs ont signalé avoir vu les informations d'identification et sont allés jusqu'à partager leur expérience dans un vidéo tik tok .

BleepingComputer a contacté McDonald's UK avec des questions sur les informations d'identification divulguées, mais n'a reçu aucune réponse.

Qu'est-ce que tu penses?