Хакер нашел уязвимость в системе McDonald's: из-за нее он мог питаться там бесплатно

 
1623
4
20 августа 2025 в 17:36
Автор: Герман Клименко
Автор: Герман Клименко

Множество уязвимостей в системе безопасности McDonald's обнаружил исследователь по вопросам компьютерной безопасности с ником BobDaHacker. Он отмечает, что компания не только допустила множество брешей в своей цифровой защите, но и не спешила залатывать их даже после того, как он прямо на них указал.

BobDaHacker обнаружил, что мобильное приложение McDonald's выполняет проверку бонусных баллов только на стороне клиента. Это означает, что в теории юзеры могут получить бесплатную еду в заведениях сети, даже не имея нужного количества баллов.

Также уязвимости обнаружились во внутреннем сервисе McDonald’s, Feel-Good Design Hub. Например, система регистрации сервиса выдавала сообщения об ошибках с указанием обязательных полей: это упрощало несанкционированное создание учетных записей. При этом Feel-Good Design Hub отправлял пароль новым пользователям в открытом виде: такая практика считается особенно незащищенной.

Еще BobDaHacker нашел API-ключи McDonald's, встроенные прямо в JavaScript-код Feel-Good Design Hub. С помощью этого элемента злоумышленники могли проводить фишинговые кампании, притворяясь сотрудниками McDonald's и паразитируя на инфраструктуре корпорации.

По словам хакера, самым сложным в этой истории оказалось не обнаружение уязвимостей, а налаживание связи с представителями McDonald's. Простого способа уведомить компанию о имеющихся багах просто не было. BobDaHacker говорит, что ему пришлось звонить в штаб-квартиру McDonald's, перечисляя имена сотрудников безопасности ресторана, которые он нашел в LinkedIn:

 «На горячей линии штаб-квартиры просто просят назвать имя человека, с которым вы хотите связаться. Поэтому я продолжал звонить, называя случайные имена сотрудников службы безопасности, пока наконец кто-то достаточно важный мне не перезвонил и не дал реальный адрес для сообщения об этих проблемах».

В итоге в McDonald's разобрались с большинством уязвимостей. При этом, по данным BobDaHacker, один из сотрудников компании, который помогал ему отыскивать дыры в защите, был уволен.

Ноутбук ASUS VivoBook S16 S3607VA-RP041
16.0" 1920 x 1200, IPS, 144 Гц, Intel Core i5 13420H, 16 ГБ DDR5, SSD 512 ГБ, видеокарта встроенная, без ОС, цвет крышки серебристый, аккумулятор 70 Вт·ч
–12%2000 р.
35 предложений
Ноутбук Apple MacBook Air 13" M4 2025 MC6U4
5 отзывов
13.6" 2560 x 1664, IPS, 60 Гц, Apple M4 (10 ядер), 16 ГБ, SSD 512 ГБ, видеокарта встроенная, Mac OS, цвет крышки голубой, аккумулятор 53.8 Вт·ч
4290 р.
35 предложений
Сравнить эти товары →
Ноутбуки в Каталоге Onliner

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

м

Фан
/ Теги: Хакеры
ОБСУЖДЕНИЕ
ПОСЛЕДНИЕ НОВОСТИ
18:43
Милиционер выстрелил в мужчину, напавшего с ножом на несовершеннолетнюю девушку
17:32
Водитель пытался незаметно провезти через границу 65,5 тысячи монет. Вот какой штраф он получил
17:20
Audi решил «поиграть в шашечки» в Минске, но карма в лице ГАИ настигла быстро. Видео
17:18
Мужчина таинственно исчез в Минске 19 лет назад. Недавно его нашли
17:00
Хозяин дома-гвоздя, отказавшийся его продавать, в итоге съехал бесплатно
16:04
«Яркий, как Луна». Над Японией запечатлели метеор