Николай Чикишев world 21 августа 2025, 14:24

Хакер нашел способ питаться в McDonald’s бесплатно

Исследователь безопасности под ником BobDaHacker обнаружил серьезные проблемы в защите внутренних сервисов McDonald’s. Все началось с безобидной попытки получить бесплатные наггетсы через приложение.

Оставить комментарий

Хакер нашел способ питаться в McDonald’s бесплатно

Исследователь безопасности под ником BobDaHacker обнаружил серьезные проблемы в защите внутренних сервисов McDonald’s. Все началось с безобидной попытки получить бесплатные наггетсы через приложение.

Исследователь обнаружил, что мобильное приложение McDonald’s выполняло проверку бонусных баллов только на стороне клиента. Это позволяло получить бесплатные блюда, даже не имея достаточных баллов. BobDaHacker безуспешно пытался сообщить об уязвимости и продолжал изучать систему безопасности компании.

Тогда он наткнулся на «Feel-Good Design Hub» — глобальный портал McDonald’s для сотрудников компании. «Все, что мне нужно было сделать, — поменять в URL слово login на register», — пояснил исследователь. Это позволяло создать новый аккаунт и сразу получить доступ к закрытой платформе.

Более того, сервис присылал пароль для новой учетной записи в открытом виде, что, как отмечает BobDaHacker, считается недопустимой практикой уже десятилетиями. Исследователь нашел API-ключи, которые были встроены в JavaScript-код Design Hub. Потенциальные злоумышленники могли отправлять пользователям уведомления под видом официальных или проводить фишинговые атаки.

Также BobDaHacker нашел и другие серьезные уязвимости, которые не стал афишировать. Ему пришлось звонить в штаб-квартиру McDonald’s, так как местные менеджеры не отвечали на письма. Во время звонка он называл случайные имена сотрудников службы безопасности, найденные в LinkedIn, чтобы наконец-то отправить отчет об уязвимостях.

После первого обращения McDonald’s три месяца исправляла уязвимость, внедрив разные входы для сотрудников и внешних партнеров. Однако компания, вероятно, уволила сотрудника, который помогал расследовать некоторые уязвимости. Надежный канал для оповещения о новых уязвимостях так и не был создан, считает BobDaHacker.

Microsoft призвала писать код на любимом языке хакеров ради безопасности

Роскомнадзор: утечек при взломе «Аэрофлота» не было. Хакеры: держите

Хакеры слили 72 000 фото девушек из приложения Tea с отзывами на мужчин

Оставить комментарий

Текст: Николай Чикишев Источник: Tom's Hardware Теги: mcdonald’s, взлом, кибербезопасность, хакеры

Нашли ошибку в тексте-выделите ее и нажмите Ctrl+Enter. Нашли ошибку в тексте-выделите ее и нажмите кнопку «Сообщить об ошибке»."

Сайт компании Вакансии

Размещение рекламы

10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)

Собрали для вас интересные курсы по информационной безопасности на различных популярных платформах. В подборке как программы для новичков, так профессиональные сертификации для опытных айтишников, которым требуется прокачать Cyber Security более глубоко или освежить знания.