Этичный хакер выявил несколько серьёзных дыр в закрытой инфраструктуре и мобильном приложении сети McDonald’s.
По словам исследователя под псевдонимом BobDaHacker, в приложении существовал баг, позволяющий оформлять заказы без фактической оплаты — система некорректно списывала несуществующие бонусные баллы.
Попытки донести информацию о проблеме через официальные каналы оказались безрезультатными: форма для обращений отсутствовала, а контакт с одним из разработчиков не ускорил исправление. В итоге уязвимость устранили лишь спустя несколько дней.
Далее специалист обнаружил уязвимости уже во внутренней сети McDonald’s:
- Он получил доступ к закрытой части партнёрского портала «Feel-Good Design Hub» — площадки для сотрудников сети и рекламных агентств в 120 странах, где хранятся маркетинговые материалы.
- Несмотря на то, что компания устранила дефект спустя три месяца, BobDaHacker вновь проник в систему: несколько простых манипуляций позволили создать новую учётную запись и войти в портал.
- В коде портала были «лёгкие» ключи от сервисов MagicBell и Algolia, что потенциально позволяло злоумышленникам получить список всех пользователей, рассылать уведомления от имени McDonald’s и похищать персональные данные.
Уровни доступа не выдержали проверку
Оказалось, что сотрудники разных рангов используют разделённые порталы, однако младший персонал мог пробраться на площадки руководства и высшего менеджмента. В результате рядовые сотрудники получили возможность просматривать внутренние документы и личные данные коллег.
BobDaHacker по-прежнему не может связаться с McDonald’s через стандартный канал security.txt, призванный упростить взаимодействие между компаниями и исследователями безопасности.
Чтобы обратить внимание на критические уязвимости, BobDaHacker был вынужден звонить в штаб-квартиру и даже разместить изображение Шрека на одной из внутренних платформ сети.