Бесплатные наггетсы и не только: хакер рассказал, как легко взломал McDonald's

Сначала BobDaHacker обнаружил, что приложение McDonald's не проверяет на стороне сервера, действительно ли у вас достаточно бонусных баллов, давая возможность пользователям получать еду бесплатно. После того как недостаток был исправлен, эксперт решил внимательнее рассмотреть кибербезопасность McDonald's, обнаружив еще ряд уязвимостей.

"Все началось с бесплатных наггетсов", — отметил он.

Свое исследование хакер начал с McDonald's Feel-Good Design Hub — центральной платформы для брендовых ресурсов и маркетинговых материалов. BobDaHacker сообщил компании, что политика паролей на стороне клиента представляет потенциальную угрозу безопасности, над чем McDonald's должным образом начал работать в течение следующих трех месяцев.

Однако, после завершения работы, BobDaHacker просмотрел новую систему входа и обнаружил, что для регистрации учетной записи нужно лишь "изменить "login" на "register" в URL-адресе". Пароль затем был отправлен ему по электронной почте в открытом тексте, и после входа он получил доступ к большому количеству материалов, некоторые из которых были обозначены как "строго конфиденциальная и служебная информация".

"Я только что проверил это еще раз, чтобы убедиться, и это все еще работает. Если они хотят, чтобы люди имели доступ к их конфиденциальным материалам, видимо, это их выбор", — пишет эксперт.

BobDaHacker также обнаружил, что ключ APR компании Magicbell оставался видимым в JavaScript, что потенциально позволяло хакерам перечислять всех пользователей в системе, отправлять официальные уведомления от имени McDonald's кому-либо, а также запустить фишинговую кампанию с помощью инфраструктуры McDonald's. Хакер сообщил об этом компании, после чего ключи были удалены.

Важно Ваши секреты в интернете: как Илон Маск "подставил" пользователей своего ИИ

Кроме того, эксперт узнал, что получить член команды McDonald's с базовой учетной записью мог читать внутренние корпоративные документы и искать личные электронные письма любого сотрудника McDonald's, от менеджеров магазинов до генерального директора.

Более того, инструмент GRS (Global Restaurant Standards) мог использоваться для обновления любого содержимого страницы с помощью HTML через конечную точку API без файлов cookie. Чтобы продемонстрировать это, BobDaHacker разместил изображение Шрека на главной странице GRS.

Затем исследователь попытался использовать доступную контактную информацию McDonald's, чтобы сообщить обо всех этих потенциальных точках нарушения, но обнаружил, что она устарела, и нет простого способа сообщить компании о ее недостатках в кибербезопасности.

В результате он позвонил в штаб-квартиру McDonald's, но столкнулся с роботом, который требовал назвать имя того, с кем он хотел соединиться. В конце концов ему удалось вспомнить имена сотрудников службы безопасности, найденных в LinkedIn.

BobDaHacker утверждает, что в настоящее время большинство уязвимостей исправлено, но McDonald's до сих пор не создал надлежащего канала уведомления о безопасности, а член команды, который помогал ему исследовать уязвимости аутентификации сотрудников, был уволен из-за "проблем безопасности со стороны корпорации".