Сегодня 30 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → mcdonald's

Хакер нашёл способ бесплатно питаться в McDonald's и множество других уязвимостей — исправлять их компания не спешила

Исследователь BobDaHacker обнаружил множество уязвимостей в цифровой инфраструктуре McDonald's, которые раскрывали конфиденциальные данные клиентов и позволяли осуществлять несанкционированный доступ к внутренним корпоративным системам. Он отметил, что компания крайне медленно занималась их устранением.

 Источник изображения: Kevin Ku/unsplash.com

Источник изображения: Kevin Ku/unsplash.com

В частности, на внедрение полноценной системы учётных записей с разными путями входа в сервис McDonald's Feel-Good Design Hub для сотрудников компании потребовалось целых три месяца после получения сообщения исследователя. «Однако проблема всё ещё оставалась. Мне нужно было всего лишь изменить login на register в URL-адресе, чтобы создать новую учётную запись для получения доступа к платформе», — сообщил BobDaHacker.

Трудно поверить, что McDonald's серьёзно относится к безопасности своего центра Feel-Good Design Hub, когда на решение проблемы уходит целый квартал, когда для этого достаточно изменить одно слово в URL-адресе, отметил ресурс Tom's Hardware.

Исследователь заинтересовался безопасностью инфраструктуры McDonald's когда обнаружил, что мобильное приложение McDonald's выполняло проверку бонусных баллов только на стороне клиента, что позволяло пользователям потенциально претендовать на бесплатные блюда, например, наггетсы, даже не имея достаточного количества баллов.

Столкнувшись с проблемами при попытке сообщить об этой находке по надлежащим каналам McDonald's, BobDaHacker продолжил изучение системы безопасности компании и обнаружил уже более серьёзные уязвимости.

Например, система регистрации McDonald's Feel-Good Design Hub выдавала сообщения об ошибках с указанием обязательных полей, что упрощало несанкционированное создание учётной записи. Более того, платформа отправляла новым пользователям пароль в открытом виде, что давно не практикуется крупными компаниями.

Исследователь обнаружил API-ключи и секреты McDonald's, встроенные непосредственно в JavaScript-код Design Hub, что могло позволить злоумышленникам отправлять пользователям уведомления под видом официальных или проводить фишинговые кампании, используя собственную инфраструктуру McDonald's.

Это неполный перечень уязвимостей, которые выявил BobDaHacker. Он рассказал, что столкнулся с большими трудностями при попытке уведомить компанию об имеющихся багах. Пришлось звонить в штаб-квартиру McDonald's и случайным образом называя имена сотрудников службы безопасности, найденных в LinkedIn, связаться с уполномоченным лицом для отправки отчёта об уязвимостях. «На горячей линии штаб-квартиры просто просят назвать имя человека, с которым вы хотите связаться. Поэтому я продолжал звонить, называя случайные имена сотрудников службы безопасности, пока наконец кто-то достаточно важный мне не перезвонил и не дал мне реальный адрес для сообщения об этих проблемах», — рассказал BobDaHacker.

Исследователь сообщил, что McDonald's, похоже, устранила «большинство уязвимостей», о которых ей рассказали, но при этом компания уволила сотрудника, который помогал расследовать некоторые уязвимости, и «так и не создала надлежащий канал для сообщения о проблемах с безопасностью».


window-new
Soft
Hard
Тренды 🔥
Вторая глава, повышение максимального уровня, отключаемый интерфейс и многое другое: для Titan Quest 2 вышло первое крупное обновление 38 мин.
Соавтор Disco Elysium устроит из анонса новой игры событие мирового масштаба — Summer Eternal готовит необычную презентацию Red Rooster 2 ч.
Российский суд оштрафовал Microsoft и Telegram на 3,5 млн рублей каждую, а Apple — на 7 млн 3 ч.
Основатель и глава Spotify внезапно объявил об уходе в отставку 3 ч.
Команды разработчиков Windows воссоединились после шестилетней работы порознь 3 ч.
Nvidia выпустила драйвер с поддержкой Battlefield 6 и обновления FBC: Firebreak 3 ч.
«Пластилиновая» ролевая игра Banquet For Fools отправит исследовать загадочный мир и придумывать заклинания — дата выхода и новый трейлер 4 ч.
Nothing продолжает нейрофикацию — запущен ИИ-генератор мини-приложений по текстовым описаниям 4 ч.
Хардкорная ролевая игра Outward 2 выйдет летом 2026 года 4 ч.
«Ростелеком» запустил «Турбо Облако» с 500 тыс. виртуальными процессорами 5 ч.
Zhaoxin представила серверный x86-процессор KH-50000: 96 ядер без SMT и 12 каналов DDR5-5200 18 мин.
SteelSeries выпустила беспроводную игровую гарнитуру Arctis Nova Elite за $600 с беспроводным ЦАП 20 мин.
Corsair представила беспроводные гарнитуры Void v2 Max Wireless и Void v2 Max Wireless для Xbox за $150 2 ч.
Грядущий флагман Samsung Galaxy S26 Ultra показался на изображениях — изменения в дизайне минимальны 2 ч.
LG выпустила монитор UltraFine evo 6K с Thunderbolt 5 для профессионалов — в 2,5 раза дешевле аналога от Apple 2 ч.
Apple представила наушники Powerbeats Fit за $200 с гибкой конструкцией для спорта и не только 3 ч.
Китайская Zhaoxin представила серверные x86-процессоры KH-50000 — до 96 ядер, 128 линий PCIe 5.0 и 12 каналов DDR5-5200 6 ч.
Samsung готовит SSD вместимостью 512 Тбайт с интерфейсом PCIe 6.0 6 ч.
Бум атомной энергетики из-за ИИ ЦОД в США обойдётся в $350 млрд 7 ч.
Logitech представила беспроводную мышь MX Master 4 с тактильной обратной связью за $120 7 ч.