Уязвимости в инфраструктурата на McDonald’s

Изследователят с псевдоним BobDaNasker е открил множество сериозни уязвимости в цифровата инфраструктура на McDonald’s, които излагат на риск клиентски данни и позволяват неоторизиран достъп до вътрешни системи. По негови думи компанията е реагирала изключително бавно и е отнело близо три месеца, за да бъдат отстранени основни проблеми.

Един от най-фрапиращите пропуски е позволявал създаването на нов акаунт за вътрешната платформа Feel-Good Design Hub само чрез промяна на една дума в URL адреса.

От слаб контрол до явни пароли

McDonald’s мобилното приложение също е било слабо защитено – извършвало е проверка на точките за награди единствено от страна на клиента, което е отваряло врата за злоупотреби и получаване на безплатни ястия без реални точки.

В Design Hub пък новите потребители са получавали паролите си в явен вид по имейл – практика, която отдавна е изоставена от сериозните компании.

Изложени API ключове и риск от фишинг

BobDaNasker е установил още, че в JavaScript кода на платформата са били вградени API ключове и вътрешни тайни на компанията. Това би позволило на атакуващи да изпращат подвеждащи известия или да провеждат фишинг кампании, маскирани като официални съобщения на McDonald’s.

Трудности при докладване

Изследователят е срещнал сериозни трудности да докладва за проблемите. Наложило му се е да търси произволни служители по сигурността в LinkedIn и да се свърже директно с централата на компанията, за да предаде информацията.

Реакцията на McDonald’s

По думите му McDonald’s е отстранила „повечето от уязвимостите“, за които е била уведомена. Въпреки това компанията е уволнила служител, помогнал на изследователя в разследването, и все още не е установила официален канал за докладване на проблеми със сигурността.