Множество уязвимостей в системе безопасности McDonald's обнаружил исследователь по вопросам компьютерной безопасности с ником BobDaHacker. Он отмечает, что компания не только допустила множество брешей в своей цифровой защите, но и не спешила залатывать их даже после того, как он прямо на них указал.
Читать на OnlínerBobDaHacker обнаружил, что мобильное приложение McDonald's выполняет проверку бонусных баллов только на стороне клиента. Это означает, что в теории юзеры могут получить бесплатную еду в заведениях сети, даже не имея нужного количества баллов.
Также уязвимости обнаружились во внутреннем сервисе McDonald’s, Feel-Good Design Hub. Например, система регистрации сервиса выдавала сообщения об ошибках с указанием обязательных полей: это упрощало несанкционированное создание учетных записей. При этом Feel-Good Design Hub отправлял пароль новым пользователям в открытом виде: такая практика считается особенно незащищенной.
Еще BobDaHacker нашел API-ключи McDonald's, встроенные прямо в JavaScript-код Feel-Good Design Hub. С помощью этого элемента злоумышленники могли проводить фишинговые кампании, притворяясь сотрудниками McDonald's и паразитируя на инфраструктуре корпорации.
По словам хакера, самым сложным в этой истории оказалось не обнаружение уязвимостей, а налаживание связи с представителями McDonald's. Простого способа уведомить компанию о имеющихся багах просто не было. BobDaHacker говорит, что ему пришлось звонить в штаб-квартиру McDonald's, перечисляя имена сотрудников безопасности ресторана, которые он нашел в LinkedIn:
«На горячей линии штаб-квартиры просто просят назвать имя человека, с которым вы хотите связаться. Поэтому я продолжал звонить, называя случайные имена сотрудников службы безопасности, пока наконец кто-то достаточно важный мне не перезвонил и не дал реальный адрес для сообщения об этих проблемах».
В итоге в McDonald's разобрались с большинством уязвимостей. При этом, по данным BobDaHacker, один из сотрудников компании, который помогал ему отыскивать дыры в защите, был уволен.
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро