Множество уязвимостей в системе безопасности McDonald's обнаружил исследователь по вопросам компьютерной безопасности с ником BobDaHacker. Он отмечает, что компания не только допустила множество брешей в своей цифровой защите, но и не спешила залатывать их даже после того, как он прямо на них указал.
BobDaHacker обнаружил, что мобильное приложение McDonald's выполняет проверку бонусных баллов только на стороне клиента. Это означает, что в теории юзеры могут получить бесплатную еду в заведениях сети, даже не имея нужного количества баллов.
Также уязвимости обнаружились во внутреннем сервисе McDonald’s, Feel-Good Design Hub. Например, система регистрации сервиса выдавала сообщения об ошибках с указанием обязательных полей: это упрощало несанкционированное создание учетных записей. При этом Feel-Good Design Hub отправлял пароль новым пользователям в открытом виде: такая практика считается особенно незащищенной.
Еще BobDaHacker нашел API-ключи McDonald's, встроенные прямо в JavaScript-код Feel-Good Design Hub. С помощью этого элемента злоумышленники могли проводить фишинговые кампании, притворяясь сотрудниками McDonald's и паразитируя на инфраструктуре корпорации.
По словам хакера, самым сложным в этой истории оказалось не обнаружение уязвимостей, а налаживание связи с представителями McDonald's. Простого способа уведомить компанию о имеющихся багах просто не было. BobDaHacker говорит, что ему пришлось звонить в штаб-квартиру McDonald's, перечисляя имена сотрудников безопасности ресторана, которые он нашел в LinkedIn:
«На горячей линии штаб-квартиры просто просят назвать имя человека, с которым вы хотите связаться. Поэтому я продолжал звонить, называя случайные имена сотрудников службы безопасности, пока наконец кто-то достаточно важный мне не перезвонил и не дал реальный адрес для сообщения об этих проблемах».
В итоге в McDonald's разобрались с большинством уязвимостей. При этом, по данным BobDaHacker, один из сотрудников компании, который помогал ему отыскивать дыры в защите, был уволен.
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро
м