Исследователь обнаружил серьёзные уязвимости в системах McDonald's

/ ТехнологииНовости / Технологии

McDonald's снова оказался в центре внимания из-за серии проблем с кибербезопасностью, обнаруженных исследователем безопасности BobDaHacker. После того как он сообщил компании о возможности получения бесплатных наггетсов, используя систему валидации бонусных баллов только на стороне клиента, и получил ответ от инженера-программиста о том, что тот «слишком занят» для приёма отчёта, смелый эксперт решил внимательнее изучить кибербезопасность McDonald's в целом — и обнаружил множество потенциальных точек взлома.

Первой целью стал McDonald's Feel-Good Design Hub — центральная платформа для брендовых активов и маркетинговых материалов (через Tom's Hardware). BobDaHacker сообщил компании, что её клиентская политика паролей представляет потенциальный риск для безопасности, и McDonald's начал работать над этим в течение следующих трёх месяцев.

Однако после завершения работ BobDaHacker изучил новую систему входа и обнаружил, что для регистрации аккаунта достаточно было «изменить 'login' на 'register' в URL». Полученный пароль был отправлен ему по электронной почте в открытом виде, и после входа в систему он получил доступ к большому количеству материалов, некоторые из которых были помечены как «высококонфиденциальная и проприетарная информация».

BobDaHacker также обнаружил, что ключ Magicbell APR компании оставался видимым в JavaScript, что потенциально позволяло хакерам列出 всех пользователей системы и отправлять официально выглядящие уведомления любому из списка, что, по его словам, можно было использовать для «запуска фишинговой кампании с использованием инфраструктуры McDonald's». Он уведомил компанию, которая с тех пор удалила и заменила ключи.

Возможно, самым шокирующим был уровень доступа, который мог получить обычный сотрудник McDonald's с базовым аккаунтом. BobDaHacker утверждает, что доступ базового уровня можно было использовать не только для чтения внутренних корпоративных документов и поиска личных электронных писем любого сотрудника McDonald's — от менеджеров магазинов до генерального директора, — но и инструмент GRS (Global Restaurant Standards) можно было использовать для обновления содержимого любой страницы с помощью HTML через конечную точку API без файлов cookie.

BobDaHacker говорит, что использовал эту возможность для отображения большого изображения Шрека на главной странице GRS, прежде чем через минуту вернуть всё обратно. Ну, Шрек ведь любит лук, а McDonald's использует его миллионами.

Исследователь безопасности затем попытался использовать доступную контактную информацию для сообщения обо всех этих потенциальных точках взлома, но обнаружил, что она устарела, и нет простого способа сообщить компании о её провалах в кибербезопасности. В результате он позвонил в штаб-квартиру McDonald's, но был остановлен автоматической телефонной системой, которая требовала назвать имя человека, с которым он хотел бы связаться.

Не сдаваясь, он начал называть случайных сотрудников службы безопасности, которых обнаружил в LinkedIn, и в конечном итоге ему перезвонили с информацией о том, куда сообщать о проблемах.

BobDaHacker теперь заявляет, что большинство уязвимостей с тех пор были исправлены, но McDonald's до сих пор не создал надлежащий канал отчетности по безопасности, а сотрудник, который помогал ему исследовать уязвимости аутентификации сотрудников, был уволен из-за «опасений корпорации по поводу безопасности». Он по-прежнему считает, что некоторые из отмеченных инструментов могут быть доступны, и предлагает McDonald's рассмотреть программу вознаграждений за ошибки, чтобы предотвратить дальнейшие эксплуатации.

Всё это напоминает о обнаружении серьёзных провалов в безопасности в платформе McDonald's на основе искусственного интеллекта McHire, в которую до недавнего времени можно было войти с помощью учётной записи администратора с именем пользователя и паролем «123456». Похоже, что методы безопасности McDonald's нуждаются в обновлении, хотя лично я считаю, что некоторые пункты их меню должны оставаться такими, какие они есть.

Я особенно неравнодушен к чизбургеру, хотя думаю, что пока оставлю в покое систему вознаграждений на основе логина.

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

Топ дня 🌶️

14
6
4
4
3
3

0 комментариев

Оставить комментарий

Все комментарии - Технологии