Dados estavam em uma URL aberta na Internet. Foto: Pexels.

Uma falha de um prestador de serviços de TI causou o vazamento de 2,3 milhões de registros sensíveis do McDonald's Brasil, sendo quase a metade deles de funcionários, incluindo dados como nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho.

O vazamento foi descoberto por uma empresa de segurança francesa, a OnlineProtek, e revelada pelo site The Hack, que tem esse assunto entre as suas especialidades. 

O problema estava no Elasticsearch, uma ferramenta open source utilizada em servidores para facilitar a consulta de grandes volumes de dados. 

Por padrão, ela é configurada com acesso público, e assim ficou no caso dos dados do McDonalds, sendo acessível para qualquer um que tivesse a URL, sem necessidade de autenticação.

Assim, dos dados do McDonalds estavam em um mecanismo de busca, permitindo a qualquer um pesquisar  2.354.933 registros, incluindo 76 mil registros de novas contratações (com menos dados pessoais), quase 12 mil demissões (indicando se o desligamento foi por justa causa ou não) e outras informações privilegiadas, incluindo uma listagem de 245 fornecedores e parceiros (como construtoras contratadas para erguer novas lojas da franquia). 

Procurada pelo The Hack, a Arcos Dorados, empresa responsável por franquear a marca McDonald’s na América Latina, afirmou que a sua infraestrutura não foi invadida e que o ambiente vulnerável em questão era de propriedade da DoxTI, um prestador de serviços que foi contratado para desenvolver um sistema de indicadores de performance. 

“A companhia informa que, após o recebimento da informação sobre eventual vulnerabilidade em um sistema contratado e operado por um prestador de serviços de desenvolvimento de indicadores de performance, imediatamente ativou todos os protocolos de segurança previstos e também contratou uma consultoria independente para realizar investigação forense”, aponta a nota. 

A DoxTI também enviou um comunicado oficial para o The Hack, afirmando que acionou os protocolos de segurança disponíveis depois de ser contatada e também contratou uma consultoria independente para realizar uma investigação dos fatos.

De acordo com as regras da Lei Geral de Proteção de Dados (LGPD), que ainda não entrou em vigor, a Arcos Dorados poderia ser penalizada com uma multa de R$ 50 milhões ou ou 2% de seu faturamento bruto anual — o que for maior. O regulamento passa a valer em agosto de 2020.