McDonald’s потерял персональные данные в Южной Корее и на Тайване

В результате кибератаки были раскрыты персональные данные клиентов ресторанной сети из Южной Кореи и с Тайваня, сообщает The Wall Street Journal. Согласно заявлению McDonald’s, в Корее были украдены такие персональные данные, как адреса электронной почты клиентов, номера их телефонов и адреса доставки. При этом в сети общепита утверждают, что в ходе кибератаки не была скомпрометирован платежная информация.

На Тайване хакеры также украли конфиденциальную информацию о сотрудниках McDonald’s, включая имена и контактную информацию. Компания заявила, что количество скомпрометированных файлов было невелико, хотя не раскрывает количество пострадавших от утечки конфиденциальной информации.

Расследование инцидента информационной безопасности McDonald’s Corp. проводили внешние консультанты. Инцидент не привел к нарушению работы ресторанов и не был связан с атакой программ-вымогателей, когда хакеры требуют оплаты, чтобы вернуть контроль компаниям над данными и операциями. В McDonald’s в кратчайшие сроки уведомили о кибератаке регуляторов в Южной Корее и на Тайване, кроме того, в компании также пообещали оповестить о произошедшем своих клиентов и сотрудников.

Выяснилось, что в ходе атаки были затронуты данные McDonalds не только в азиатском регионе. В обращении к сотрудникам в США компания призналась, что была раскрыта некоторая информации о деловых контактах и сведения о ресторанах в стране, такие как количество сидячих мест и размеры игровых площадок в заведениях. Персональные данные сотрудников и клиентов McDonald's в США не пострадали, а информация, к которой получили доступ хакеры, по заверениям компании, не была конфиденциальной.

В компании McDonald’s подчеркивают, что в последние годы увеличили инвестиции в защиту от угроз информационной безопасности и что это помогло ей отреагировать на недавнюю атаку. Тем не менее, за последние несколько лет это не первый случай несанкционированного доступа к персональным данным сотрудников и клиентов популярнойсети фастфуда, несмотря на использование инструментов защиты от угроз информационной безопасности компании. Так, в сентябре 2020 в Польше комиссия по защите данных начала расследование несанкционированного доступа к данным о сотрудниках, содержащихся в графиках работы.

Кроме того, были случаи, когда сотрудники заведений McDonalds использовали в своих целях персональные данные покупателей сети. Например, работник ресторана в США использовал данные платежной карты клиента для покупки пиццы. В другом случае, который также произошел в США, сотрудник ресторана похитил у посетителей данные 20 удостоверений личности, а также сведения о дебетовых и кредитных банковских картах. Злоумышленник воспользовался украденными данными для получения денег, нанеся клиентам ущерб на общую сумму более $4000.