Безкоштовні нагетси і не тільки: хакер розповів, як легко зламав McDonald's

Спочатку BobDaHacker виявив, що застосунок McDonald's не перевіряє на стороні сервера, чи у вас справді достатньо бонусних балів, даючи можливість користувачам отримувати їжу безкоштовно. Після того, як недолік було виправлено, експерт вирішив уважніше розглянути кібербезпеку McDonald's, виявивши ще низку уразливостей.

"Все почалося з безкоштовних нагетсів", — зазначив він.

Своє дослідження хакер розпочав з McDonald's Feel-Good Design Hub — центральної платформи для брендових ресурсів та маркетингових матеріалів. BobDaHacker повідомив компанії, що політика паролів на стороні клієнта становить потенційну загрозу безпеці, над чим McDonald's належним чином почав працювати протягом наступних трьох місяців.

Однак, після завершення роботи, BobDaHacker переглянув нову систему входу та виявив, що для реєстрації облікового запису потрібно лише "змінити "login" на "register" в URL-адресі". Пароль потім був надісланий йому електронною поштою у відкритому тексті, і після входу він отримав доступ до великої кількості матеріалів, деякі з яких були позначені як "суворо конфіденційна та службова інформація".

"Я щойно перевірив це ще раз, щоб переконатися, і це все ще працює. Якщо вони хочуть, щоб люди мали доступ до їхніх конфіденційних матеріалів, мабуть, це їхній вибір", — пише експерт.

BobDaHacker також виявив, що ключ APR компанії Magicbell залишався видимим у JavaScript, що потенційно дозволяло хакерам перераховувати всіх користувачів у системі, надсилати офіційні сповіщення від імені McDonald's будь-кому, а також запустити фішингову кампанію за допомогою інфраструктури McDonald's. Хакер повідомив про це компанії, після чого ключі було видалено.

Важливо Ваші секрети в інтернеті: як Ілон Маск "підставив" користувачів свого ШІ

Крім того, експерт дізнався, що отримати член команди McDonald's з базовим обліковим записом міг читати внутрішні корпоративні документи та шукати особисті електронні листи будь-якого співробітника McDonald's, від менеджерів магазинів до генерального директора.

Ба більше, інструмент GRS (Global Restaurant Standards) міг використовуватися для оновлення будь-якого вмісту сторінки за допомогою HTML через кінцеву точку API без файлів cookie. Щоб продемонструвати це, BobDaHacker розмістив зображення Шрека на головній сторінці GRS.

Потім дослідник спробував використати доступну контактну інформацію McDonald's, щоб повідомити про всі ці потенційні точки порушення, але виявив, що вона застаріла, і немає простого способу повідомити компанію про її недоліки в кібербезпеці.

У результаті він зателефонував до штаб-квартири McDonald's, але зіткнувся з роботом, який вимагав назвати ім'я того, з ким він хотів з'єднатися. Зрештою йому вдалося згадати імена співробітників служби безпеки, знайдених в LinkedIn.

BobDaHacker стверджує, що наразі більшість вразливостей виправлено, але McDonald's досі не створив належного каналу повідомлення про безпеку, а члена команди, який допомагав йому досліджувати вразливості автентифікації співробітників, було звільнено через "проблеми безпеки з боку корпорації".

Нагадаємо, група розвідки загроз Google офіційно підтвердила, що дані користувачів було викрадено після успішної хакерської атаки, яка вразила одну з баз даних компанії.