Специалист по кибербезопасности, скрывающийся под ником BobDaHacker, нашёл серьёзные уязвимости в цифровых сервисах McDonald's, о чём рассказал портал Tom’s Hardware.
Он отметил, что компания медленно реагировала на уведомления. К примеру, после сообщения об отсутствии системы учётных записей на платформе Feel-Good Design Hub, её внедрение заняло около трёх месяцев. При этом, даже после обновлений, можно было обойти защиту, просто заменив в адресной строке login на register.
Среди прочего, пароли при регистрации передавались без шифрования, а в коде JavaScript находились открытые API-ключи. Эти данные могли быть использованы для фишинговых атак, выдающих себя за McDonald’s.
Наиболее опасной стала ошибка в мобильном приложении: оно проверяло бонусные баллы только на стороне пользователя. Это позволяло оформлять заказы, не имея реального количества баллов — по сути, получать еду бесплатно.
BobDaHacker столкнулся с трудностями при попытках донести информацию до McDonald’s. В итоге ему пришлось звонить напрямую в штаб-квартиру. Большую часть проблем всё же устранили, но, по его словам, процесс устранения уязвимостей оставил желать лучшего. Один из сотрудников, помогавший в этом, позже был уволен.