Безкоштовні нагетси та інші смаколики: хакер поділився, як він без зусиль зламав систему McDonald's (фото)
Хакер, відомий під псевдонімом BobDaHacker, знайшов кілька серйозних вразливостей на веб-сайтах McDonald's. Ці недоліки давали змогу замовляти безкоштовні страви онлайн, отримувати адміністративні права на маркетингові матеріали, а також отримувати доступ до корпоративної електронної пошти.
На початку BobDaHacker виявив, що програма McDonald's не проводить перевірку на серверній стороні, чи дійсно у користувачів є достатня кількість бонусних балів, що дозволяло їм отримувати їжу безкоштовно. Після усунення цього недоліку, експерт вирішив ще ретельніше дослідити кібербезпеку McDonald's та виявив ряд інших вразливостей.
"Все розпочалося з безкоштовних курячих нагетсів," – підкреслив він.
Хакер розпочав своє розслідування з McDonald's Feel-Good Design Hub — головної платформи для брендованих ресурсів та маркетингових матеріалів. BobDaHacker повідомив компанії про те, що їхня політика паролів для користувачів може створювати загрозу безпеці. McDonald's, усвідомивши серйозність ситуації, почав вживати заходів для виправлення цієї проблеми протягом наступних трьох місяців.
Однак, після завершення роботи, BobDaHacker переглянув нову систему входу та виявив, що для реєстрації облікового запису потрібно лише "змінити "login" на "register" в URL-адресі". Пароль потім був надісланий йому електронною поштою у відкритому тексті, і після входу він отримав доступ до великої кількості матеріалів, деякі з яких були позначені як "суворо конфіденційна та службова інформація".
"Я щойно перевірив це ще раз, щоб переконатися, і це все ще працює. Якщо вони хочуть, щоб люди мали доступ до їхніх конфіденційних матеріалів, мабуть, це їхній вибір", -- пише експерт.
BobDaHacker також виявив, що ключ APR компанії Magicbell був доступний у JavaScript, що могло дати змогу зловмисникам отримати список усіх користувачів системи, надсилати офіційні повідомлення від імені McDonald's будь-кому, а також організувати фішингову кампанію, використовуючи інфраструктуру McDonald's. Хакер сповістив про цю вразливість компанію, і в результаті ключі були видалені.
Окрім того, фахівець виявив, що особа, яка мала базовий обліковий запис у команді McDonald's, могла отримати доступ до внутрішніх корпоративних документів та переглядати особисті електронні листи будь-якого співробітника компанії, включаючи менеджерів магазинів і навіть генерального директора.
Крім того, інструмент GRS (Global Restaurant Standards) дозволяв оновлювати будь-який контент на сторінці за допомогою HTML через API-інтерфейс без використання файлів cookie. Для ілюстрації цього, BobDaHacker розмістив зображення Шрека на головній сторінці GRS.
Після цього дослідник вирішив скористатися наявною контактною інформацією McDonald's, щоб повідомити про ймовірні вразливості, однак з'ясував, що ці дані є старими. Він також не знайшов зручного способу, щоб звернутися до компанії з приводу її проблем у сфері кібербезпеки.
У результаті він зателефонував до штаб-квартири McDonald's, але зіткнувся з роботом, який вимагав назвати ім'я того, з ким він хотів з'єднатися. Зрештою йому вдалося згадати імена співробітників служби безпеки, знайдених в LinkedIn.
BobDaHacker стверджує, що наразі більшість вразливостей виправлено, але McDonald's досі не створив належного каналу повідомлення про безпеку, а члена команди, який допомагав йому досліджувати вразливості автентифікації співробітників, було звільнено через "проблеми безпеки з боку корпорації".
Нагадаємо, група розвідки загроз Google офіційно підтвердила, що дані користувачів було викрадено після успішної хакерської атаки, яка вразила одну з баз даних компанії.
