Исследователь кибербезопасности под ником BobDaHacker выявил ряд серьезных уязвимостей в инфраструктуре McDonald’s, которые позволяли получать доступ к конфиденциальным данным клиентов и внутренним корпоративным системам компании. Об этом сообщает портал Tom.
По словам хакера, McDonald’s крайне медленно реагировала на сообщения о проблемах и устраняла их с существенными задержками. Одним из примеров стала уязвимость в корпоративной платформе McDonald’s Feel-Good Design Hub, где на внедрение полноценной системы учетных записей потребовалось три месяца после уведомления исследователя.
Однако даже после обновлений доступ можно было получить, заменив слово login на register в URL-адресе. Кроме того, система регистрации отправляла пароли в открытом виде и содержала встроенные в JavaScript API-ключи, что потенциально позволяло злоумышленникам проводить фишинговые кампании от имени компании.
BobDaHacker также отметил, что мобильное приложение McDonald’s проверяло бонусные баллы только на стороне клиента, что открывало возможность получать бесплатные блюда. В ходе дальнейшего изучения инфраструктуры он обнаружил еще более критические уязвимости, но столкнулся с трудностями при передаче информации: для контакта с ответственными сотрудниками пришлось напрямую звонить в штаб-квартиру компании.
По утверждению исследователя, McDonald’s устранила большую часть выявленных уязвимостей, однако не наладила должным образом процесс обработки сообщений о проблемах безопасности и уволила одного из сотрудников, помогавших расследовать инциденты.
Ранее вышла iOS 18.6.2 с исправлением опасной уязвимости.