Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → mcdonald’s

Хакер нашёл способ бесплатно питаться в McDonald's и множество других уязвимостей — исправлять их компания не спешила

Исследователь BobDaHacker обнаружил множество уязвимостей в цифровой инфраструктуре McDonald's, которые раскрывали конфиденциальные данные клиентов и позволяли осуществлять несанкционированный доступ к внутренним корпоративным системам. Он отметил, что компания крайне медленно занималась их устранением.

 Источник изображения: Kevin Ku/unsplash.com

Источник изображения: Kevin Ku/unsplash.com

В частности, на внедрение полноценной системы учётных записей с разными путями входа в сервис McDonald's Feel-Good Design Hub для сотрудников компании потребовалось целых три месяца после получения сообщения исследователя. «Однако проблема всё ещё оставалась. Мне нужно было всего лишь изменить login на register в URL-адресе, чтобы создать новую учётную запись для получения доступа к платформе», — сообщил BobDaHacker.

Трудно поверить, что McDonald's серьёзно относится к безопасности своего центра Feel-Good Design Hub, когда на решение проблемы уходит целый квартал, когда для этого достаточно изменить одно слово в URL-адресе, отметил ресурс Tom's Hardware.

Исследователь заинтересовался безопасностью инфраструктуры McDonald's когда обнаружил, что мобильное приложение McDonald's выполняло проверку бонусных баллов только на стороне клиента, что позволяло пользователям потенциально претендовать на бесплатные блюда, например, наггетсы, даже не имея достаточного количества баллов.

Столкнувшись с проблемами при попытке сообщить об этой находке по надлежащим каналам McDonald's, BobDaHacker продолжил изучение системы безопасности компании и обнаружил уже более серьёзные уязвимости.

Например, система регистрации McDonald's Feel-Good Design Hub выдавала сообщения об ошибках с указанием обязательных полей, что упрощало несанкционированное создание учётной записи. Более того, платформа отправляла новым пользователям пароль в открытом виде, что давно не практикуется крупными компаниями.

Исследователь обнаружил API-ключи и секреты McDonald's, встроенные непосредственно в JavaScript-код Design Hub, что могло позволить злоумышленникам отправлять пользователям уведомления под видом официальных или проводить фишинговые кампании, используя собственную инфраструктуру McDonald's.

Это неполный перечень уязвимостей, которые выявил BobDaHacker. Он рассказал, что столкнулся с большими трудностями при попытке уведомить компанию об имеющихся багах. Пришлось звонить в штаб-квартиру McDonald's и случайным образом называя имена сотрудников службы безопасности, найденных в LinkedIn, связаться с уполномоченным лицом для отправки отчёта об уязвимостях. «На горячей линии штаб-квартиры просто просят назвать имя человека, с которым вы хотите связаться. Поэтому я продолжал звонить, называя случайные имена сотрудников службы безопасности, пока наконец кто-то достаточно важный мне не перезвонил и не дал мне реальный адрес для сообщения об этих проблемах», — рассказал BobDaHacker.

Исследователь сообщил, что McDonald's, похоже, устранила «большинство уязвимостей», о которых ей рассказали, но при этом компания уволила сотрудника, который помогал расследовать некоторые уязвимости, и «так и не создала надлежащий канал для сообщения о проблемах с безопасностью».

ИИ-рекрутер McDonald’s хранил личные данные 64 млн соискателей под паролем «123456»

Безопасность данных пользователей платформы McHire, которую McDonald’s использует для приёма сотрудников на работу, была серьёзно скомпрометирована. ИИ-бот Olivia хранил данные соискателей под паролем «123456», что позволяло хакерам легко получить доступ к личной информации соискателей: именам, номерам телефонов и адресам электронной почты. По оценкам экспертов, утечке могли подвергнуться до 64 миллионов записей.

 Источник изображения: Waid1995/Pixabay

Источник изображения: Waid1995/Pixabay

Об уязвимости стало известно после того, как независимые исследователи Иэн Кэрролл (Ian Carroll) и Сэм Карри (Sam Curry), специализирующиеся на тестировании безопасности, обнаружили дыры в системе. С помощью простых методов, включая подбор логина и пароля «123456», они получили прямой доступ к базам данных платформы. По сообщению издания Wired, исследование проводилось без злонамеренных целей: специалисты просто хотели проверить уровень защиты сервиса.

Кэрролл рассказал, что заинтересовался системой найма McDonald’s именно из-за её необычного подхода. По его словам, использование ИИ-бота вместо живых рекрутеров выглядело настолько странно, что он решил проверить, насколько защищены данные кандидатов. В итоге уже через полчаса тестирования он получил доступ ко всем заявкам, поданным в McDonald’s за последние годы.

Представители Paradox.ai, компании, разработавшей платформу чат-бота, подтвердили наличие уязвимости, но заявили, что лишь небольшая часть данных содержала персональную информацию. Компания также утверждает, что аккаунт с паролем «123456» не был взломан посторонними лицами, а доступ к нему получили исключительно сами исследователи. При этом главный юрист Paradox.ai Стефани Кинг (Stephanie King) заявила, что компания осознаёт серьёзность проблемы и уже работает над программой поиска уязвимостей, чтобы избежать подобных инцидентов в будущем.

McDonald’s, в свою очередь, возложил ответственность на Paradox.ai, назвав ситуацию неприемлемой. В заявлении компании говорится, что уязвимость была устранена в тот же день, когда о ней стало известно, и что сеть ресторанов требует от подрядчиков строгого соблюдения стандартов защиты данных.


window-new
Soft
Hard
Тренды 🔥
Демоверсия скоростного шутера Hmur от звукорежиссёра Atomic Heart выйдет в сентябре — новый безумный трейлер 24 мин.
В браузер DuckDuckGo встроили блокировщик рекламных видео на YouTube 2 ч.
Прототип цифрового рубля взломали из-за базовых ошибок 2 ч.
Более миллиона игроков ответили на зов: 11 bit studios похвасталась продажами безжалостной градостроительной стратегии Frostpunk 2 2 ч.
[Обновлено] Датамайнер раскрыл дату релиза жестокого ролевого боевика Mortal Shell 2 — долго ждать не придётся 3 ч.
«Отличный ремейк для игры, которой он был не нужен»: критики вынесли вердикт Assassin’s Creed Black Flag Resynced 3 ч.
ИИ-помощник в «Яндекс Картах» поможет с планированием досуга и активностей 3 ч.
ФБР и Google обезвредили ботнет, в котором работали 2 миллиона смарт-телевизоров 4 ч.
Долой пересветы и тусклые цвета: Google сделает HDR-видео одинаково красивым на разных Android-смартфонах 4 ч.
Apple проиграла суд и не смогла отделаться от статуса «привратника» в Европе 4 ч.
Китайский зонд добрался до астероида для забора проб — он оказался гораздо меньше ожидаемого 2 ч.
Релиз Kaspersky NGFW 1.2: виртуальные контексты, маршрутизация на основе политик, защита от IP Spoofing и многое другое 3 ч.
Робот-доставщик «Яндекса» врезался в автомобиль и скрылся с места ДТП 3 ч.
Тысяча долларов за литр: Asus выпустила игровой мини-ПК ROG GR70 с Ryzen 9 9955HX3D и RTX 5070 4 ч.
Tesla пустит стартапы на свой завод в Берлине, чтобы они улучшили её аккумуляторы 4 ч.
Patriot выпустила двухканальные комплекты памяти Viper Steel 5 Infinite DDR5-8000 ёмкостью до 96 Гбайт 4 ч.
Слишком далеко, дорого и долго: эксперты раскритиковали мегапроект SK hynix и Samsung по строительству заводов памяти 5 ч.
Скрытая съёмка запрещена: очки Meta перестанут записывать видео, если повреждён индикатор съёмки 5 ч.
ИИ-модели Perplexity заработают на центральных процессорах Nvidia Vera 5 ч.
Meta тестирует «сверхчувствительные» умные очки — они будут постоянно записывать видео и аудио 5 ч.