Хакер под псевдонимом «BobDaHacker» продемонстрировал сразу несколько критических уязвимостей в цифровой инфраструктуре McDonald’s. Его исследования показали, что даже глобальные корпорации могут допускать базовые ошибки в проектировании и защите сервисов.
Основные факты
* Исследователь обнаружил эксплойт, позволявший бесконечно заказывать наггетсы через приложение McDonald’s. Попытки уведомить службу безопасности компании не увенчались успехом.
* Вскоре ему удалось получить доступ к внутреннему порталу McDonald’s Feel-Good Design Hub. Простая подмена «login» на «register» в URL позволила зарегистрировать новый аккаунт с расширенными правами, а система возвращала пароли в открытом виде.
* Это дало возможность управлять маркетинговыми материалами и оформлять заказы. В качестве последнего шага он заменил главную страницу сайта изображением со Шреком, что наконец привлекло внимание компании.
* Обнаруженные проблемы включали утечки API-ключей, некорректную обработку OAuth и передачу паролей без шифрования.
Почему это важно
* Ошибки такого уровня относятся к базовым нарушениям безопасности: валидация на стороне клиента, хранение паролей в открытом виде и отсутствие корректной настройки доступа.
* McDonald’s не в первый раз сталкивается с подобным. Ранее в системе обработки резюме McHire был обнаружен пароль «123456», что открыло доступ к данным миллионов соискателей.
* Отсутствие прозрачного канала для сообщений об уязвимостях (security.txt или bug bounty) усложнило коммуникацию с исследователем и отсрочило устранение угроз.
Выводы
Инцидент показал, что даже крупные корпорации подвержены простейшим уязвимостям. Правильное внедрение процедур безопасности, шифрование данных и наличие официальных каналов для сообщений исследователей могли бы предотвратить инцидент, вошедший в СМИ под названием «Шрекбургер».
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 7215 4401