Skip to main content

McDonald's-Kundendaten durch Auftragnehmer kompromittiert

McDonald's warnt Kunden vor Identitätsdiebstahl, Phishing-Angriffen oder anderen Betrügereien, die durch eine Datenpanne verursacht wurden. Was die Daten kompromittiert, ist, dass es auf eine wachsende Hacker-Strategie hinweist, die eher auf tief hängende Früchte als auf direkten Angriff setzt.

Hacker haben McDonald's nicht per se durchbrochen. Die Angreifer konnten über eine Drittpartei, die von einem von McDonald's beauftragten Dritten beauftragt wurde, auf die sensiblen McDonald's-Kundendaten zugreifen. McDonald's beauftragte Arc Worldwide mit der Verwaltung seiner Werbe-E-Mail-Kampagne, und Arc Worldwide engagierte einen weiteren Drittanbieter, um die E-Mails zu verteilen. Dieser Drittanbieter - der anonym bleibt - ist derjenige, der gehackt wurde.

Die gute Nachricht für betroffene McDonald's Kunden ist, dass die E-Mail-Werbekampagnen keine sensibleren Informationen wie Sozialversicherungsnummern oder mehr enthalten Kreditkarteninformation. Dennoch können Daten wie Namen, Telefonnummern, E-Mail-Adressen, physische Adressen und andere Informationen für Social-Engineering- und Identitätsdiebstahl-Angriffe verwendet werden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC ]

McDonald's hat Kunden eine E-Mail geschickt, in der sie darauf hingewiesen werden, dass ihre persönlichen Daten möglicherweise offengelegt wurden. In der E-Mail werden die Kunden aufgefordert, sich vor potenziellen Identitätsdiebstahl- oder Phishing-Bedrohungen zu wehren und McDonald's zu kontaktieren, falls sie Mitteilungen von McDonald's erhalten, die den Kunden auffordern, persönliche oder finanzielle Informationen weiterzugeben .

IT-Administratoren sollten genau auf diesen Vorfall achten. Ebenso wie Malware-Entwickler mehr Aufmerksamkeit auf Software von Drittanbietern wie Adobe Reader gerichtet haben, anstatt das Betriebssystem Windows direkt zu nutzen, haben Hacker auch gelernt, dass der einfachste Weg, ein Netzwerk zu kompromittieren, oft durch einen Drittanbieter erfolgt.

Partner und Anbieter haben häufig vertrauenswürdige Verbindungen zu verstärkten, hochwertigen Netzwerken, und sie stellen niedrig hängende Früchte dar, auf die Angreifer zielen können. Den kleineren Drittorganisationen fehlen häufig die Sicherheitsrichtlinien und -kontrollen der größeren Unternehmen, und sie bieten eine Achillesferse, die Hacker ausnutzen können, um Zugang zu dem wertvolleren Netzwerk zu erhalten - oft unbemerkt unter dem Radar.

Es gibt zwei Dinge, die IT-Administratoren tun müssen, um sensible Daten und Netzwerkressourcen zu schützen. Führen Sie zunächst eine Due Diligence durch und erstellen Sie Sicherheitsrichtlinien für Drittanbieter, um sicherzustellen, dass sie die Sicherheitsanforderungen erfüllen. Eine Erweiterung davon wäre, auch von Dritten beauftragte Dritte zu verpflichten, die gleichen Anforderungen zu erfüllen und den gleichen Überprüfungsvorgang durchzuführen, bevor sie autorisiert werden, sich mit dem Netzwerk zu verbinden.

Die andere Sache, die IT-Administratoren tun sollten, ist festzustellen Überwachung und Kontrolle, um das Netzwerk auch vor vertrauenswürdigen Partnern zu schützen und den Zugriff auf sensible Systeme zu verhindern. Es würde in diesem Fall nicht weiterhelfen, da sich die kompromittierte Datenbank im Netzwerk des Drittanbieters befand, aber die IT-Administratoren immer noch ein Gleichgewicht zwischen Zusammenarbeit und Sicherheit finden müssen.

Wie Angreifer suchen die Angreifer immer den Weg geringsten Widerstandes. Wie dieser McDonald's-Vorfall zeigt, geht dieser Pfad oft über vertrauenswürdige Dritte.