Хакер е открил начин да се храни безплатно в McDonald’s – компанията не бърза да ги закърпи уязвимостта
Изследователят BobDaHacker е разкрил голям брой уязвимости в цифровата инфраструктура на McDonald’s, които излагат на риск чувствителни данни на клиентите и разрешават неоторизиран достъп до вътрешните корпоративни системи на компанията. Той означи, че компанията се оправя с тях извънредно постепенно.
По-конкретно, цели 3 месеца след отчета на откривателя са били нужни за въвеждането на пълноценна система за сметки с разнообразни пътища за влизане в услугата Feel-Good Design Hub на McDonald’s за чиновниците.
„ Проблемът обаче към момента оставаше. Всичко, което трябваше да направя беше да трансформира login на register в URL адреса, с цел да основа нов акаунт за достъп до платформата. “
съобщава BobDaHacker
Трудно е да се повярва, че McDonald’s се отнася съществено към сигурността на своя Feel-Good Design Hub, когато лишава цяло тримесечие, с цел да се в профил проблем, когато е задоволително да се промени една дума в URL адреса, означи Tom’s Hardware.
Изследователят се заинтересувал от сигурността на инфраструктурата на McDonald’s, когато разкрил, че мобилното приложение на компанията прави единствено инспекция на точките за награди от страна на клиента, което разрешава на потребителите евентуално да претендират за безвъзмездни ястия, като да вземем за пример нъгетс (хапки), без даже да имат задоволително точки.
След като се сблъскал с проблеми при опита си да заяви за това изобретение по верните канали на McDonald’s, BobDaHacker продължи да изследва системата за сигурност на компанията и откри по-сериозни уязвимости.
Например системата за регистрация в центъра за дизайн Feel-Good на McDonald’s генерирала известия за неточности със наложителните полета, което улеснявало неоторизираното основаване на сметки. Нещо повече, платформата изпращаше на новите консуматори ключова дума в очевиден тип, което от дълго време не се практикува от огромните компании.
Изследователят е разкрил API ключове и секрети на McDonald’s, вградени непосредствено в JavaScript кода на Design Hub, което би могло да разреши на нападателите да изпращат на потребителите вести, маскирани като публични вести, или да организират фишинг акции, употребявайки личната инфраструктура на McDonald’s.
Това не е цялостен лист на уязвимостите, които BobDaHacker е разпознал. Той съобщи, че е срещнал огромни компликации в опитите си да уведоми компанията за бъговете. Наложило му се е да се обади в централата на McDonald’s и да набере случайно имената на чиновници по сигурността, открити в LinkedIn, с цел да се свърже с упълномощено лице, което да изпрати отчет за уязвимостите.
Изследователят съобщи, че McDonald’s наподобява е отстранила „ множеството от уязвимостите “, за които ѝ е било обявено, само че че компанията е уволнила служителя, който е оказал помощ за следствието на някои от уязвимостите и „ в никакъв случай не е открила подобаващ канал за докладване на проблеми със сигурността “.
