Безкоштовні нагетси та інше: хакер поділився, як він без зусиль зламав McDonald's (фото)
Хакер, відомий під псевдонімом BobDaHacker, виявив кілька серйозних вразливостей на веб-сайтах McDonald's. Ці недоліки давали можливість безкоштовно оформляти замовлення на їжу, отримувати доступ адміністратора до маркетингових матеріалів, а також використовувати корпоративну електронну пошту.
Спочатку BobDaHacker помітив, що додаток McDonald's не здійснює перевірку на сервері, чи має користувач достатню кількість бонусних балів, що дозволяло людям отримувати їжу безкоштовно. Після усунення цього недоліку, експерт вирішив заглибитися у питання кібербезпеки McDonald's і виявив ще ряд вразливих місць у системі.
"Все почалося з безкоштовних нагетсів", -- зазначив він.
Хакер розпочав своє розслідування з McDonald's Feel-Good Design Hub, який є основною платформою для брендових ресурсів та матеріалів маркетингу. BobDaHacker звернув увагу компанії на те, що їхня політика паролів для клієнтів може створювати ризики для безпеки, і McDonald's швидко взявся за вирішення цієї проблеми протягом наступних трьох місяців.
Однак, після завершення роботи, BobDaHacker переглянув нову систему входу та виявив, що для реєстрації облікового запису потрібно лише "змінити "login" на "register" в URL-адресі". Пароль потім був надісланий йому електронною поштою у відкритому тексті, і після входу він отримав доступ до великої кількості матеріалів, деякі з яких були позначені як "суворо конфіденційна та службова інформація".
"Я тільки що ще раз перевірив це, щоб бути впевненим, і це все ще функціонує. Якщо вони бажають, щоб люди могли отримати доступ до їхніх конфіденційних даних, очевидно, це їхнє рішення," — зазначає фахівець.
BobDaHacker також виявив, що ключ APR компанії Magicbell залишався видимим у JavaScript, що потенційно дозволяло хакерам перераховувати всіх користувачів у системі, надсилати офіційні сповіщення від імені McDonald's будь-кому, а також запустити фішингову кампанію за допомогою інфраструктури McDonald's. Хакер повідомив про це компанії, після чого ключі було видалено.
Крім того, експерт дізнався, що отримати член команди McDonald's з базовим обліковим записом міг читати внутрішні корпоративні документи та шукати особисті електронні листи будь-якого співробітника McDonald's, від менеджерів магазинів до генерального директора.
Більш того, інструмент GRS (Глобальні стандарти ресторанів) дозволяв оновлювати будь-який контент на сторінці за допомогою HTML через API-інтерфейс без потреби у файлах cookie. Для ілюстрації цього, BobDaHacker завантажив зображення Шрека на головну сторінку GRS.
Після цього дослідник вирішив скористатися наявними контактними даними McDonald's, щоб повідомити про виявлені потенційні проблеми, проте з'ясував, що інформація є застарілою, і не існує зручного способу донести до компанії інформацію щодо її вразливостей у сфері кібербезпеки.
Врешті-решт, він зателефонував до головного офісу McDonald's, але натрапив на автоматизовану систему, яка запитала його ім'я людини, з якою він бажав зв'язатися. Після деяких зусиль, йому вдалося згадати імена співробітників відділу безпеки, які були вказані на LinkedIn.
BobDaHacker стверджує, що наразі більшість вразливостей виправлено, але McDonald's досі не створив належного каналу повідомлення про безпеку, а члена команди, який допомагав йому досліджувати вразливості автентифікації співробітників, було звільнено через "проблеми безпеки з боку корпорації".
Нагадуємо, що команда з розвідки загроз Google офіційно заявила про викрадення даних користувачів внаслідок вдалої хакерської атаки на одну з корпоративних баз даних.
