Хакер нашел способ бесплатно питаться в McDonald's

Исследователь BobDaHacker нашел множество уязвимостей в цифровой инфраструктуре McDonald's. Как отметил специалист, с их помощью можно было получить доступ к внутренним корпоративным системам и узнать личные данные клиентов. 

По данным ресурса Tom's Hardware, BobDaHacker начал изучать безопасность инфраструктуры McDonald's когда обнаружил, что мобильное приложение делало проверку бонусных баллов только со стороны клиента. Это позволяло пользователям бесплатно получать некоторые блюда, даже если у них не было достаточного количества баллов. 

Также BobDaHacker обнаружил уязвимость в системе регистрации McDonald's Feel-Good Design Hub. Она выдавала сообщения об ошибках с указанием обязательных полей, что упрощало несанкционированное создание учетной записи. Кроме того, платформа отправляла новым пользователям пароль в открытом виде.

Исследователь обнаружил API-ключи и секреты McDonald's, встроенные в JavaScript-код Design Hub. Этим могли воспользоваться злоумышленники для отправки пользователям сообщений под видом официальных или проведения фишинговых кампаний, используя собственную инфраструктуру McDonald's. 

Исследователь отметил, что компания крайне медленно занималась устранением уязвимостей. Например, на внедрение полноценной системы учетных записей с разными путями входа в сервис для сотрудников компании ушло три месяца. Однако на данный момент McDonald's устранила большинство уязвимостей, о которых он сообщил компании. 

Ранее независимые исследователи Иэн Кэрролл и Сэм Карри решили протестировать на безопасность систему найма сотрудников ресторана быстрого питания McDonald’s. В результате выяснилось, что ИИ-бот Olivia хранил данные 64 млн соискателей под паролем «123456».