PDACorp — Новостная корпорация
McDonald’s, одна из крупнейших сетей быстрого питания в мире, столкнулась с серьёзными проблемами в своей цифровой инфраструктуре. Исследователь BobDaHacker выявил множество уязвимостей, которые подвергали риску конфиденциальные данные клиентов и внутренние системы компании. В этой статье мы разберём, какие именно проблемы были обнаружены, как компания реагировала на них и что это говорит о её подходе к кибербезопасности.
—
Основные уязвимости, обнаруженные хакером
1. Недостатки в системе Feel-Good Design Hub
BobDaHacker обнаружил, что платформа McDonald’s Feel-Good Design Hub, предназначенная для сотрудников, имела серьёзные бреши в безопасности:
— Простота создания учётных записей: Для доступа к системе достаточно было изменить слово «login» на «register» в URL-адресе.
— Отправка паролей в открытом виде: Пароли новых пользователей отправлялись без шифрования, что давно не практикуется в крупных компаниях.
— API-ключи в JavaScript: Ключи и секреты были встроены прямо в код платформы, что могло позволить злоумышленникам проводить фишинговые атаки.
2. Проблемы с мобильным приложением
Исследователь также выявил уязвимость в приложении McDonald’s:
— Проверка бонусных баллов на стороне клиента: Это позволяло пользователям получать бесплатные блюда (например, наггетсы), даже не имея достаточного количества баллов.
—
Как McDonald’s отреагировала на обнаруженные проблемы
1. Медленное устранение уязвимостей
Несмотря на сообщения исследователя, компания крайне медленно реагировала на проблемы:
— На исправление некоторых багов ушло более трёх месяцев.
— *«Трудно поверить, что McDonald’s серьёзно относится к безопасности»,* — отметил ресурс Tom’s Hardware.
2. Отсутствие канала для сообщений об уязвимостях
BobDaHacker столкнулся с трудностями при попытке связаться с компанией:
— Ему пришлось звонить в штаб-квартиру и называть случайные имена сотрудников службы безопасности из LinkedIn.
— *«На горячей линии просто просят назвать имя человека, с которым вы хотите связаться»,* — рассказал исследователь.
—
Последствия для McDonald’s и её клиентов
1. Риски для данных пользователей
Обнаруженные уязвимости могли привести к:
— Утечке конфиденциальной информации клиентов.
— Проведению фишинговых атак через инфраструктуру компании.
2. Репутационные потери
Медленная реакция и отсутствие чёткого канала для сообщений об уязвимостях подрывают доверие к компании как к надёжному оператору цифровых сервисов.
—
Заключение
История с уязвимостями McDonald’s напоминает о важности своевременного реагирования на угрозы кибербезопасности. Компании должны не только устранять баги, но и создавать эффективные механизмы для их выявления и предотвращения. В противном случае они рискуют не только данными своих клиентов, но и своей репутацией на рынке.
