Хакер знайшоў спосаб харчавацца ў McDonald's бясплатна

Даследчык выявіў, што мабільная алпікацыя McDonald’s выконвала праверку бонусных балаў толькі на баку кліента. Гэта дазваляла атрымаць бясплатныя стравы, нават не маючы дастатковых балаў. BobDaHacker беспаспяхова спрабаваў паведаміць пра ўразлівасць і працягваў вывучаць сістэму бяспекі кампаніі.

Тады ён натрапіў на «Feel-Good Design Hub» — глабальны партал McDonald’s для супрацоўнікаў кампаніі. «Усё, што мне трэба было зрабіць, — змяніць у URL слова login на register», — патлумачыў даследчык. Гэта дазваляла стварыць новы акаўнт і адразу атрымаць доступ да закрытай платформы.

Больш за тое, сэрвіс дасылаў пароль для новага ўліковага запісу ў адкрытым выглядзе, што, як адзначае BobDaHacker, лічыцца недапушчальнай практыкай ужо дзесяцігоддзямі. Даследчык знайшоў API-ключы, якія былі ўбудаваныя ў JavaScript-код Design Hub. Патэнцыйныя зламыснікі маглі адпраўляць карыстальнікам апавяшчэнні пад выглядам афіцыйных або праводзіць фішынгавыя атакі.

Таксама BobDaHacker знайшоў і іншыя сур’ёзныя ўразлівасці, якія не стаў афішаваць. Яму прыйшлося тэлефанаваць у штаб-кватэру McDonald’s, бо мясцовыя менеджары не адказвалі на лісты. Падчас званка ён называў выпадковыя імёны супрацоўнікаў службы бяспекі, знойдзеныя ў LinkedIn, каб нарэшце адправіць справаздачу пра ўразлівасці.

Пасля першага звароту McDonald’s тры месяцы выпраўляла ўразлівасць, укараніўшы розныя ўваходы для супрацоўнікаў і знешніх партнёраў. Аднак кампанія, верагодна, звольніла супрацоўніка, які дапамагаў расследаваць некаторыя ўразлівасці. Надзейны канал для апавяшчэння аб новых уразлівасцях так і не быў створаны, лічыць BobDaHacker.