Исследователь под псевдонимом BobDaHacker выявил целый ряд критических уязвимостей в цифровых сервисах McDonald’s. Ошибки в безопасности затрагивали как клиентские приложения, так и внутренние корпоративные платформы компании. При этом, по словам специалиста, компания устраняла проблемы крайне медленно.

Уязвимости в приложении McDonald’s

Первая серьёзная находка касалась мобильного приложения McDonald’s. Проверка бонусных баллов выполнялась только на стороне клиента, что позволяло злоумышленникам получать бесплатные блюда — например, наггетсы — даже без достаточного количества накопленных баллов.

Проблемы с корпоративной платформой Feel-Good Design Hub

Позже BobDaHacker обратил внимание на сервис McDonald’s Feel-Good Design Hub, предназначенный для сотрудников компании.

• На внедрение полноценной системы учётных записей ушло три месяца, хотя для обхода защиты было достаточно заменить в URL слово login на register, чтобы создать новую учётную запись.

• Сообщения об ошибках при регистрации содержали подсказки о том, какие поля обязательны, что упрощало несанкционированный доступ.

• Сервис отправлял пароли пользователям в открытом виде по электронной почте, что считается грубейшим нарушением практик кибербезопасности.

Утечка ключей и риск фишинговых атак

В исходном коде платформы исследователь нашёл API-ключи и секреты McDonald’s, встроенные в jаvascript. Это могло позволить злоумышленникам рассылать уведомления от имени компании или организовывать фишинговые кампании с использованием инфраструктуры McDonald’s.

Медленная реакция компании

BobDaHacker подчеркнул, что уведомить McDonald’s о найденных проблемах было непросто. Горячая линия штаб-квартиры принимала обращения только при указании имени конкретного сотрудника. В итоге исследователю пришлось звонить в McDonald’s, называя имена специалистов по безопасности, найденные в LinkedIn, пока не удалось связаться с уполномоченным человеком и отправить отчёт.

По данным хакера, компания устранила большинство уязвимостей, однако до сих пор не создала удобного и официального канала для передачи информации о новых проблемах. Более того, сотрудник McDonald’s, который помогал в расследовании, был уволен.

Итог

История BobDaHacker наглядно показала, что даже у мировых корпораций вроде McDonald’s могут существовать критические дыры в безопасности — от ошибок в мобильном приложении до незащищённых внутренних сервисов. Своевременная реакция и создание прозрачного процесса для исследователей могли бы снизить риски, но компания, по словам эксперта, действовала слишком медленно.