Добавить в корзинуПозвонить
Найти в Дзене
Onlíner
24,9 тыс подписчиков

Хакер нашел уязвимость в системе McDonald's: из-за нее он мог питаться там бесплатно

8
1 мин
Множество уязвимостей в системе безопасности McDonald's обнаружил исследователь по вопросам компьютерной безопасности с ником BobDaHacker. Он отмечает, что компания не только допустила множество брешей в своей цифровой защите, но и не спешила залатывать их даже после того, как он прямо на них указал. BobDaHacker обнаружил, что мобильное приложение McDonald's выполняет проверку бонусных баллов только на стороне клиента. Это означает, что в теории юзеры могут получить бесплатную еду в заведениях сети, даже не имея нужного количества баллов. Также уязвимости обнаружились во внутреннем сервисе McDonald’s, Feel-Good Design Hub. Например, система регистрации сервиса выдавала сообщения об ошибках с указанием обязательных полей: это упрощало несанкционированное создание учетных записей. При этом Feel-Good Design Hub отправлял пароль новым пользователям в открытом виде: такая практика считается особенно незащищенной. Еще BobDaHacker нашел API-ключи McDonald's, встроенные прямо в JavaScript-код

Множество уязвимостей в системе безопасности McDonald's обнаружил исследователь по вопросам компьютерной безопасности с ником BobDaHacker. Он отмечает, что компания не только допустила множество брешей в своей цифровой защите, но и не спешила залатывать их даже после того, как он прямо на них указал. BobDaHacker обнаружил, что мобильное приложение McDonald's выполняет проверку бонусных баллов только на стороне клиента. Это означает, что в теории юзеры могут получить бесплатную еду в заведениях сети, даже не имея нужного количества баллов.

Также уязвимости обнаружились во внутреннем сервисе McDonald’s, Feel-Good Design Hub. Например, система регистрации сервиса выдавала сообщения об ошибках с указанием обязательных полей: это упрощало несанкционированное создание учетных записей. При этом Feel-Good Design Hub отправлял пароль новым пользователям в открытом виде: такая практика считается особенно незащищенной.

Еще BobDaHacker нашел API-ключи McDonald's, встроенные прямо в JavaScript-код Feel-Good Design Hub. С помощью этого элемента злоумышленники могли проводить фишинговые кампании, притворяясь сотрудниками McDonald's и паразитируя на инфраструктуре корпорации.

По словам хакера, самым сложным в этой истории оказалось не обнаружение уязвимостей, а налаживание связи с представителями McDonald's. Простого способа уведомить компанию о имеющихся багах просто не было. BobDaHacker говорит, что ему пришлось звонить в штаб-квартиру McDonald's, перечисляя имена сотрудников безопасности ресторана, которые он нашел в LinkedIn:

«На горячей линии штаб-квартиры просто просят назвать имя человека, с которым вы хотите связаться. Поэтому я продолжал звонить, называя случайные имена сотрудников службы безопасности, пока наконец кто-то достаточно важный мне не перезвонил и не дал реальный адрес для сообщения об этих проблемах».

В итоге в McDonald's разобрались с большинством уязвимостей. При этом, по данным BobDaHacker, один из сотрудников компании, который помогал ему отыскивать дыры в защите, был уволен.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Гаджеты и электроника
5,73 млн интересуются