Исследователь кибербезопасности под псевдонимом BobDaHacker обнаружил серьезные проблемы в защите сети ресторанов быстрого питания McDonald’s. Эти недостатки позволяли пользователям незаконно получать доступ к конфиденциальной информации и бесплатному питанию.
Медленная реакция McDonald’s
McDonald’s оказалась медленной в исправлении обнаруженных проблем. Например, на создание надежной системы аутентификации пользователей в корпоративной платформе Feel-Good Design Hub ушло целых три месяца после уведомления исследователей. Даже после обновления платформы пользователи могли легко получить доступ, меняя лишь одно слово — «login» на «register» — в адресной строке браузера.
Кроме того, система регистрации имела значительные недостатки:
- Пароли передавались в незашифрованном виде.
- Открытые API-ключи были встроены прямо в код страницы.
Эти проблемы создавали условия для проведения мошеннических действий и фишинга.
Возможность бесплатной еды
Одной из наиболее заметных уязвимостей была возможность обхода проверки бонусов непосредственно в мобильном приложении. Пользователи могли свободно заказывать еду, не оплачивая её, поскольку приложение не выполняло проверку баллов на сервере.
Сложности взаимодействия с McDonald’s
Для передачи информации о найденных недостатках исследователь столкнулся с серьезными препятствиями. Несмотря на попытки связаться через официальные каналы, ему пришлось лично позвонить в главный офис компании, чтобы добиться внимания специалистов.
Даже после устранения большинства недостатков компания не смогла наладить эффективный механизм обработки уведомлений о проблемах безопасности. Более того, один из сотрудников, вовлеченный в расследование инцидента, был уволен.
Итоги исследования
Несмотря на усилия команды безопасности McDonald’s, многие проблемы остались нерешенными, и организация продолжает сталкиваться с проблемами управления безопасностью своей цифровой инфраструктуры. Этот случай подчеркивает важность своевременного обнаружения и оперативного исправления уязвимостей, особенно в крупных компаниях, чьи клиенты регулярно сталкиваются с рисками потери личных данных и финансовых потерь.
