Исследователь безопасности под ником BobDaHacker обнаружил серьезные проблемы в защите внутренних сервисов McDonald’s. Все началось с безобидной попытки получить бесплатные наггетсы через приложение.
Исследователь безопасности под ником BobDaHacker обнаружил серьезные проблемы в защите внутренних сервисов McDonald’s. Все началось с безобидной попытки получить бесплатные наггетсы через приложение.
Исследователь обнаружил, что мобильное приложение McDonald’s выполняло проверку бонусных баллов только на стороне клиента. Это позволяло получить бесплатные блюда, даже не имея достаточных баллов. BobDaHacker безуспешно пытался сообщить об уязвимости и продолжал изучать систему безопасности компании.
Тогда он наткнулся на «Feel-Good Design Hub» — глобальный портал McDonald’s для сотрудников компании. «Все, что мне нужно было сделать, — поменять в URL слово login на register», — пояснил исследователь. Это позволяло создать новый аккаунт и сразу получить доступ к закрытой платформе.
Более того, сервис присылал пароль для новой учетной записи в открытом виде, что, как отмечает BobDaHacker, считается недопустимой практикой уже десятилетиями. Исследователь нашел API-ключи, которые были встроены в JavaScript-код Design Hub. Потенциальные злоумышленники могли отправлять пользователям уведомления под видом официальных или проводить фишинговые атаки.
Также BobDaHacker нашел и другие серьезные уязвимости, которые не стал афишировать. Ему пришлось звонить в штаб-квартиру McDonald’s, так как местные менеджеры не отвечали на письма. Во время звонка он называл случайные имена сотрудников службы безопасности, найденные в LinkedIn, чтобы наконец-то отправить отчет об уязвимостях.
После первого обращения McDonald’s три месяца исправляла уязвимость, внедрив разные входы для сотрудников и внешних партнеров. Однако компания, вероятно, уволила сотрудника, который помогал расследовать некоторые уязвимости. Надежный канал для оповещения о новых уязвимостях так и не был создан, считает BobDaHacker.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.