Хакер опубликовал картинку Шрека во внутренней системе Макдоналдса, чтобы привлечь внимание к куче уязвимостей

Влад Войтенко -

«Белый хакер» обнаружил множество серьёзных уязвимостей во внутренней системе McDonald's (Макдоналдс) и в приложении мировой сети ресторанов быстрого питания.

По уверениям BobDaHacker, в приложении была «дыра», которая позволяла заказывать еду без последующей оплаты. Баг заключался в возможности списывать в качестве оплаты несуществующие бонусы.

Попытка сообщить о проблеме не увенчалась успехом — не удалось найти форму для обращений. Выход на одного из инженеров-разработчиков сети сразу не повлиял на результат, поэтому баг был исправлен лишь через несколько дней.

Затем BobDaHacker выходит на новые уязвимости, но уже во внутренней сети Макдоналдс:

  • Например, удалось попасть в закрытую часть партнёрского портала McDonald’s Feel-Good Design Hub — сервиса для персонала и сотрудников рекламных агентств в 120 странах мира, собирающего маркетинговые материалы.
  • Попасть на портал оказалось очень легко: Макдоналдс исправил проблему лишь спустя три месяца, но BobDaHacker вновь удалось взломать систему. Небольшие манипуляции позволили создать новую учётную запись и спокойно зайти на портал.
  • Ещё одна сопутствующая уязвимость: находка в коде портала ключей от сервисов MagicBell, Algolia потенциально могла позволить злоумышленникам получить список всех пользователей системы, рассылая от лица Макдональдс письма и уведомления, а также персональные данные пользователей.

На этом уязвимости не закончились

Оказалось, что сотрудники разного уровня имеют доступы к своим корпоративным порталам — эти системы созданы для разного ранга. Допустим, младший сотрудник, используя учётную запись от своего портала, мог попасть в портал для сотрудников высшего ранга или даже руководителя.

Простыми словами — рядовые сотрудники могли получить доступ к системам, к которым в теории может иметь доступ только их руководство. Это потенциально могло привести к тому, что младшие работники могли открыть внутренние документы и увидеть данные других сотрудников.

Доводить до Макдоналдс информацию о серьёзных дырах не получается и до сих пор, констатирует специалист. У сети так и нет файла security.txt — стандарт, в рамках которого компании упрощают связь с исследователями безопасности.

Для привлечения внимания к уязвимостям BobDaHacker пришлось не только звонить в штаб-квартиру сети, но и опубликовать на одной из внутренних платформ Макдоналдса изображение со Шреком.