McDonald’s järjesti hiljattain Iso-Britanniassa asiakkailleen kilpailun, joissa hampurilaisten ostajille annettiin pikaruokajätin verkkosivuille syötettäviä koodeja. Koodin syöttäneille asiakkaille ilmoitettiin sähköpostilla, mikäli nämä ovat voittaneet palkintoja.

The Registerin mukaan palkinnon voittaneet saivat sähköpostilla muutakin, nimittäin käyttäjätunnukset kampanjan kehitystyössä käytettyihin Azure-tietokantoihin.

LUE MYÖS:

Suurin osa asiakkaista ei välttämättä edes tajunnut ihmetellä, mitä palkintosähköpostin alussa olevat kryptiset koodirivit tarkoittivat, mutta yrittäjänä toimiva Connor Creig tajusi heti, mistä oli kyse. Sähköpostit lähettänyt työntekijä oli vahingossa liittänyt tietokantatunnukset viestiin.

Creig yritti kertoa hälyttävästä tilanteesta McDonald’sille, mutta se ei onnistunutkaan ihan tuosta vain. Yhtiön verkkosivuilta ei nimittäin löytynyt Iso-Britannian tytäryhtiön tietoturva-asioista vastaavan osaston yhteystietoja.

Seuraavaksi hän yritti soittaa puhelimella megakorporaation pääkonttorille, mutta vastaukseksi hän sai vain äänitallenteen, jossa kerrottiin kaikkien työntekijöiden olevan etätöissä. Lopuksi Creig lähetti asiasta sähköpostia reilulle kymmenelle McDonald’s Britannian työntekijälle, joiden sähköpostiosoitteet hän onnistui löytämään. Vastauksia ei kuulunut.

Turhautuneena mies julkaisi aiheesta TikTok-videon, jolla hän aneli hampurilaisjättiä vastaamaan sähköposteihin.

Lopulta Creig kuitenkin sai vastauksen, joskin eri tavalla kuin toivoi. McDonald’sin työntekijä oli nimittäin lisännyt hänet – vahingossa jälleen, kuinkas muuten – sähköpostiketjuun, jossa Creigin väitteitä tietoturvariskistä puntaroitiin ja pidettiin epäilyttävinä. Onnekkaan kömmähdyksen myötä hän pääsi puhumaan tietoturvahenkilöstölle ja ongelma saatiin korjatuksi.

McDonald’s on väittänyt, ettei käyttäjätunnuksilla päässyt kirjautumaan tuotantovaiheen tietokantaan, vaikka käyttäjänimen yhteydessä olikin viite ”ukproduction”. Yhtiö myös sanoi, ettei tapaus vaarantanut asiakastietoja, siitäkin huolimatta, että markkinointikampanjan tietokanta ilmiselvästi sisälsi juuri käyttäjien sähköpostiosoitteita.