Хакер опубликовал картинку Шрека во внутренней системе Макдоналдса, чтобы привлечь внимание к куче уязвимостей
ГигаЧат кратко объясняет суть статьи
BobDaHacker выявил критические уязвимости в приложениях и внутренней инфраструктуре McDonald's. В мобильном приложении обнаружена возможность бесплатного заказа еды путём списания несуществующих бонусов. Во внутренней сети выявлены проблемы с доступностью закрытой части партнёрского портала Feel-Good Design Hub, где хранились маркетинговые материалы. Хакеру удалось дважды обойти защиту портала, создавая поддельные аккаунты и получая доступ к конфиденциальной информации. Обнаружены ключи к сервисам MagicBell и Algolia, позволяющие рассылать уведомления и получать личные данные пользователей. Кроме того, система допускала несанкционированный доступ сотрудников низшего звена к документам руководителей. Несмотря на попытки уведомить компанию, многие уязвимости остались неисправленными, а официальный канал связи с исследователями безопасности отсутствует.
«Белый хакер» обнаружил множество серьёзных уязвимостей во внутренней системе McDonald's (Макдоналдс) и в приложении мировой сети ресторанов быстрого питания.
По уверениям BobDaHacker, в приложении была «дыра», которая позволяла заказывать еду без последующей оплаты. Баг заключался в возможности списывать в качестве оплаты несуществующие бонусы.
Попытка сообщить о проблеме не увенчалась успехом — не удалось найти форму для обращений. Выход на одного из инженеров-разработчиков сети сразу не повлиял на результат, поэтому баг был исправлен лишь через несколько дней.
Затем BobDaHacker выходит на новые уязвимости, но уже во внутренней сети Макдоналдс:
- Например, удалось попасть в закрытую часть партнёрского портала McDonald’s Feel-Good Design Hub — сервиса для персонала и сотрудников рекламных агентств в 120 странах мира, собирающего маркетинговые материалы.
- Попасть на портал оказалось очень легко: Макдоналдс исправил проблему лишь спустя три месяца, но BobDaHacker вновь удалось взломать систему. Небольшие манипуляции позволили создать новую учётную запись и спокойно зайти на портал.
- Ещё одна сопутствующая уязвимость: находка в коде портала ключей от сервисов MagicBell, Algolia потенциально могла позволить злоумышленникам получить список всех пользователей системы, рассылая от лица Макдональдс письма и уведомления, а также персональные данные пользователей.
На этом уязвимости не закончились
Оказалось, что сотрудники разного уровня имеют доступы к своим корпоративным порталам — эти системы созданы для разного ранга. Допустим, младший сотрудник, используя учётную запись от своего портала, мог попасть в портал для сотрудников высшего ранга или даже руководителя.
Простыми словами — рядовые сотрудники могли получить доступ к системам, к которым в теории может иметь доступ только их руководство. Это потенциально могло привести к тому, что младшие работники могли открыть внутренние документы и увидеть данные других сотрудников.
Доводить до Макдоналдс информацию о серьёзных дырах не получается и до сих пор, констатирует специалист. У сети так и нет файла security.txt — стандарт, в рамках которого компании упрощают связь с исследователями безопасности.
Для привлечения внимания к уязвимостям BobDaHacker пришлось не только звонить в штаб-квартиру сети, но и опубликовать на одной из внутренних платформ Макдоналдса изображение со Шреком.
Читать первым в Telegram-канале «Код Дурова»
