Исследователь безопасности случайно обнаружил уязвимость в системе McDonalds и столкнулся с проблемами связи

Исследователь в области безопасности, известный под псевдонимом BobDaHacker, поделился информацией о том, что ему удалось получить доступ к внутренней платформе McDonald’s, предназначенной только для работников и франчайзи. Его намерение заключалось в том, чтобы уведомить компанию об уязвимости, однако он столкнулся с трудностями из-за отсутствия канала для обратной связи.

«McDonald’s Feel-Good Design Hub — это основное пространство для маркетинговых материалов и брендовых активов, которое используется командами и агентствами в 120 странах. Ранее доступ к нему обеспечивался клиентским паролем», — отметил BobDaHacker. Уязвимость была обнаружена им, когда он пытался воспользоваться бонусами для заказа бесплатных наггетсов.

«После того как я сообщил об этом, им потребовалось три месяца для внедрения полноценной системы учётных записей с различными способами входа для сотрудников McDonald’s (с использованием их EID/MCID) и внешних партнеров… Тем не менее, уязвимость всё еще осталась. Мне нужно было просто изменить “вход” на “регистрацию” в URL, чтобы создать новую учетную запись и получить доступ к платформе», — пояснил BobDaHacker.

Также он выяснил, что простая регистрация новой учётной записи вызывала отправку пароля, связанного с этой учеткой, в открытом виде.

В конечном итоге BobDaHacker смог воспользоваться Feel-Good Design Hub для доступа к различным ресурсам, включая «сильно конфиденциальные и уникальные» маркетинговые данные, а также сервис, позволяющий «находить ЛЮБОГО сотрудника McDonald’s по всему миру».

«У McDonald’s существовал файл security.txt с контактной информацией, но его удалили через два месяца после его добавления. Я нашел его лишь через Wayback Machine, и к тому времени он уже не соответствовал действительности. Как можно сообщить о проблемах безопасности компании, которая не имеет контактного лица, отвечающего за безопасность? Я буквально позвонил в центральный офис McDonald’s и начал называть случайные имена людей из службы безопасности, которые нашел в LinkedIn», — рассказал BobDaHacker.

По его словам, на горячей линии компании просто просили указать имя человека, с которым нужно связаться. Исследователь продолжал перечислять случайные имена сотрудников службы безопасности, пока «в конце концов кто-то из них не перезвонил и не предоставил действительный адрес для сообщения о проблемах».

BobDaHacker сообщил, что McDonald’s, похоже, устранил «большинство уязвимостей», о которых он уведомил компанию, однако одновременно уволила его друга, который также участвовал в расследовании уязвимостей, «так и не создав полноценный канал для сообщения о проблемах безопасности».

Ранее эксперты по кибербезопасности сообщили, что выявили простые способы компрометации бэкенда платформы чат-ботов на сайте McHire.com, используемом McDonald’s для обработки резюме, что привело к утечке данных миллионов соискателей. Административный интерфейс для владельцев ресторанов принимал стандартные логин и пароль «123456». Внутренний API имел уязвимость типа IDOR (Insecure Direct Object Reference), что позволяло получить доступ к любым чатам и контактам.