Przedsiębiorcy, uczcie się od McDonald's. Tak wychodzi się z twarzą z wycieku danych
Dział IT sieci McDonald's dał ciała, w wyniku czego do sieci trafiły dane osobowe tysięcy polskich pracowników fast foodowej restauracji. Co jedna w tej sytuacji szczególne, firma nie schowała się za pisanym przez prawników oświadczeniem, zrzucając winę na mitycznych hakerów. Wprost przeciwnie – wzięła problem na klatę i jak tylko może wspiera poszkodowanych.
Nie, sam wyciek danych nie może być powodem do dumy, a zwłaszcza wyciek tak kuriozalny. Jak pisze Niebezpiecznik, dokładnym winnym zamieszania jest agencja 24/7 Communication, która obsługuje w McDonald's cyfrowe grafiki pracowników. Zamiast w folderze o ograniczonym dostępie, pliki wystawiono publicznie. Później ktoś istotnie z tej furtki skorzystał, ale mówienie o ataku byłoby nadużyciem. Do złamania zabezpieczeń nie doszło, bo ich... nie było.
Summa summarum dane wszystkich pracowników restauracji McDonald's z ostatnich 5 lat były dostępne publicznie w okresie od stycznia 2019 do lipca 2020 r. Oprócz informacji związanych z zatrudnieniem, takich jak zajmowane stanowisko czy lista nieobecności, zbiór obejmował imiona, nazwiska oraz numery PESEL bądź paszportów.
Wyciek to jedno, drugie – reakcja na niego
Można debatować nad tym, czy wyciek wiąże się z jakimiś poważnymi konsekwencjami. Rzeczy najważniejszej z punktu widzenia potencjalnych przestępców, a więc numerów dowodów, nie zawiera. Z uwagi na brak danych teleadresowych bazy nie kupi również żadna firma e-marketingowa. Jedyne poważne zagrożenie wiąże się z użyciem numeru PESEL w przypadkach, gdy jest on wykorzystywany do autoryzacji. Chodzi tu głównie o wybrane infolinie.
Najważniejsze jest jednak to, jak McDonald's podszedł do kwestii logistycznych po utracie danych. Powiedzmy wprost, jest to wzór do naśladowania. Spółka od razu rozesłała do wszystkich pracowników biuletyn informacyjny. Mało tego, ten sam dokument trafił automatycznie do mediów, a w dzienniku Fakt wydrukowano go nawet jako płatne ogłoszenie. Wreszcie, pod numerem 22 255 22 10 utworzono infolinię dla ofiar i osób zainteresowanych.
Tak więc o ile osoby w IT ewidentnie się nie popisały, o tyle reakcja McDonald's jest wydarzeniem bez precedensu, zasługującym na gromkie brawa. Idę o zakład, że w 9 na 10 przypadków słyszelibyśmy teraz o rosyjskich hakerach, niepokornym pracowniku czy innym incydencie rodem z literatury kryminalnej. Tymczasem międzynarodowy potentat stawia sprawę jasno: zawaliliśmy, ale robimy wszystko, co w naszej mocy, aby zminimalizować negatywne skutki.