Dados pessoais de funcionários do McDonald’s Brasil expostos por parceiro

Mais de 2,3 milhões de registros sensíveis da rede McDonald’s Brasil estavam sem alguma proteção de segurança. Desse total, mais de 1 milhão de dados eram informações pessoais de funcionários. A denúncia, publicada pelo portal de segurança The Hack, foi feita por um pesquisador que encontrou a falha.

As informações estavam armazenadas em um ambiente Elasticsearch, ferramenta utilizada em servidores para facilitar a consulta de bases de dados gigantescas. Por padrão, ela é instalada com acesso público e cabe ao time de segurança criar senhas ou outro tipo de restrição.  Como o processo não foi realizado nessa base, bastava ter acesso ao link completo da url  que o endereço levava diretamente para a visualização dos dados.

De acordo com a equipe do The Hack, foi possível conferir informações como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho de colaboradores. Além disso, foi possível acessar 76 mil registros de novas contratações, 12 mil fichas de demissões e uma lista com 245 fornecedores e parceiros, com dados nome da empresa, email de contato e CNPJ.

O outro lado

Procurada, a Arcos Dorados (franqueadora do McDonald’s na América Latina), informou que o ambiente desprotegido pertencia a um prestador de serviço chamado DoxTI, contratado para desenvolver um sistema de indicadores de performance.

A ‘Arcos’ divulgou a seguinte nota: “A Companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense. Além disso, informa que não identificou invasão à sua infraestrutura.

Já a DoxTI divulgou outro recado: “A Doxti esclarece que tão logo foi contactada pelo site The Hack acionou os protocolos de segurança disponíveis. Além disso, a empresa contratou uma consultoria independente para realizar uma investigação dos fatos.”

Consequências

Teoricamente, seria possível acessar todos os dados dos usuários e, com base neles, usá-los para cometer fraudes. Mas, até o momento, não há indícios de que as informações foram acessadas por pessoas mal-intencionadas.

Caso a Lei Geral de Proteção de Dados, que será implementada em agosto de 2020, já estivesse em vigor, a Arcos Dorados poderia ser penalizada com uma multa de R$ 50 milhões ou 2% de seu faturamento bruto anual — a penalidade que gerar mais dinheiro.