Хакер знайшов спосіб безкоштовно харчуватися в McDonald's

Ірина Озтурк
glavcom.ua
Ірина Озтурк
Хакер знайшов спосіб безкоштовно харчуватися в McDonald's
У безпеці McDonald's була низка дірок
фото із відкритих джерел

Безпека McDonald's виявилась максимально ненадійною, тож хакер виявив критичні проблеми

Дослідник безпеки, відомий як BobDaHacker, виявив низку серйозних вразливостей у цифровій інфраструктурі McDonald's, які дозволяли отримати доступ до даних клієнтів і внутрішніх корпоративних систем. Він зазначив, що компанія дуже повільно реагувала на його повідомлення. Про це повідомляє «Главком» із посиланням на Tom's Hardware.

Зокрема, на впровадження повноцінної системи облікових записів у сервісі Feel-Good Design Hub для співробітників компанії знадобилося три місяці. Однак проблема залишилася: щоб отримати доступ, достатньо було змінити слово «login» на «register» в URL-адресі. Ресурс Tom's Hardware відзначив, що така повільна реакція ставить під сумнів серйозне ставлення McDonald's до безпеки.

Вразливі місця були знайдені, коли BobDaHacker помітив, що мобільний додаток McDonald's перевіряв бонусні бали лише на стороні клієнта. Це дозволяло потенційно отримувати безкоштовні страви без достатньої кількості балів. 

Після невдалої спроби повідомити про першу знахідку, BobDaHacker продовжив дослідження та виявив більш серйозні вразливості:

  • Система реєстрації Design Hub видавала повідомлення про помилки з обов’язковими полями, що спрощувало несанкціоноване створення облікового запису.
  • Платформа надсилала новим користувачам пароль у відкритому вигляді, що є застарілою практикою.
  • Дослідник знайшов API-ключі та секрети McDonald's у JavaScript-коді, що могло дозволити хакерам відправляти фішингові повідомлення.

Повідомити компанію про ці баги виявилося надзвичайно складно. Досліднику довелося телефонувати у штаб-квартиру та навмання називати імена співробітників із LinkedIn, щоб нарешті зв’язатися з відповідальною особою.

За словами BobDaHacker, McDonald's усунула «більшість вразливостей», але так і не створила належний канал для повідомлення про проблеми з безпекою. Крім того, був звільнений співробітник, який допомагав розслідувати частину вразливостей.

Раніше стало відомо, що мережа ресторанів швидкого харчування McDonald's вирішила знизити ціни на вісім популярних комбо-меню в США, щоб відреагувати на масові скарги клієнтів щодо зростання вартості страв.

Теги: харчування хакер McDonald's

