Найти в Дзене
Янва. Вместе интересно!
2200 подписчиков

Бесплатная еда в McDonald’s благодаря уязвимости

1 мин
Исследователь кибербезопасности под псевдонимом BobDaHacker обнаружил серьезные проблемы в защите сети ресторанов быстрого питания McDonald’s. Эти недостатки позволяли пользователям незаконно получать доступ к конфиденциальной информации и бесплатному питанию. McDonald’s оказалась медленной в исправлении обнаруженных проблем. Например, на создание надежной системы аутентификации пользователей в корпоративной платформе Feel-Good Design Hub ушло целых три месяца после уведомления исследователей. Даже после обновления платформы пользователи могли легко получить доступ, меняя лишь одно слово — “login” на “register” — в адресной строке браузера. Кроме того, система регистрации имела значительные недостатки: Эти проблемы создавали условия для проведения мошеннических действий и фишинга. Одной из наиболее заметных уязвимостей была возможность обхода проверки бонусов непосредственно в мобильном приложении. Пользователи могли свободно заказывать еду, не оплачивая её, поскольку приложение не вы
Оглавление

Исследователь кибербезопасности под псевдонимом BobDaHacker обнаружил серьезные проблемы в защите сети ресторанов быстрого питания McDonald’s. Эти недостатки позволяли пользователям незаконно получать доступ к конфиденциальной информации и бесплатному питанию.

Медленная реакция McDonald’s

McDonald’s оказалась медленной в исправлении обнаруженных проблем. Например, на создание надежной системы аутентификации пользователей в корпоративной платформе Feel-Good Design Hub ушло целых три месяца после уведомления исследователей. Даже после обновления платформы пользователи могли легко получить доступ, меняя лишь одно слово — “login” на “register” — в адресной строке браузера.

Кроме того, система регистрации имела значительные недостатки:

  • Пароли передавались в незашифрованном виде.
  • Открытые API-ключи были встроены прямо в код страницы.

Эти проблемы создавали условия для проведения мошеннических действий и фишинга.

Возможность бесплатной еды

Одной из наиболее заметных уязвимостей была возможность обхода проверки бонусов непосредственно в мобильном приложении. Пользователи могли свободно заказывать еду, не оплачивая её, поскольку приложение не выполняло проверку баллов на сервере.

Сложности взаимодействия с McDonald’s

Для передачи информации о найденных недостатках исследователь столкнулся с серьезными препятствиями. Несмотря на попытки связаться через официальные каналы, ему пришлось лично позвонить в главный офис компании, чтобы добиться внимания специалистов.

Даже после устранения большинства недостатков компания не смогла наладить эффективный механизм обработки уведомлений о проблемах безопасности. Более того, один из сотрудников, вовлеченный в расследование инцидента, был уволен.

Итоги исследования

Несмотря на усилия команды безопасности McDonald’s, многие проблемы остались нерешенными, и организация продолжает сталкиваться с проблемами управления безопасностью своей цифровой инфраструктуры. Этот случай подчеркивает важность своевременного обнаружения и оперативного исправления уязвимостей, особенно в крупных компаниях, чьи клиенты регулярно сталкиваются с рисками потери личных данных и финансовых потерь.

Поделитесь своими мыслями — ваш комментарий сделает статью ещё полезнее! Ждём вас внизу :)

Будем рады видеть в нашем сообществе во «ВКонтакте».