Dijital altyapıların küresel imparatorluklar yürüttüğü bir dünyada, fast-food endüstrisindeki en büyük isimler bile güvenlik blunders’a karşı bağışık değildir. Bağımsız bir araştırmacı, kendini istemeden hackledi McDonalds’ı, şöhret veya servet için değil, ücretsiz tavuk külçeleri kadar önemsiz bir şey üzerinde bulduğunda keşfetti.
Söz konusu bir siber güvenlik meraklısı olan Bobdahacker, 17 Ağustos 2025’te birkaç güvenlik açıklarını nasıl ortaya çıkardığını ve McDonalds’ı nasıl hacklediğine dair ayrıntılı bir hesap paylaştı. Ödül uygulamalarında zararsız bir istismarla başlayan hikaye, kısa süre sonra McDonald’s dijital savunmalarının tam ölçekli bir denetimi haline geldi ve güvensiz geliştirici uygulamalarından yanlış yapılandırılmış dahili araçlara kadar sorunları ortaya koydu.
Nuggets için hacklenen McDonalds
Bob’un keşfettiği ilk kusur şaşırtıcı derecede basitti. McDonald’s mobil uygulaması, sunucu tarafındaki ödül puanlarını doğrulayamadı ve yalnızca istemcide kontrol etti. Bu, küçük bir hile ile, kullanıcıların aslında yeterli puana sahip olmadan etkili bir şekilde ücretsiz yiyecek alabileceği anlamına geliyordu.
Bob sorunu bildirerek doğru şeyi yapmaya çalıştı. Aşırı çalışan bir mühendis tarafından fırçalandıktan sonra, hatanın perde arkasında sessizce yamalı olduğundan şüpheleniyor. Hikayenin sonu olmalıydı. Ancak bunun yerine, McDonalds güvenlik açıkları hakkında çoğu zaman var olduğunu hayal etmeyecek daha derin bir soruşturma başlattı.
İyi hissettiren tasarım hub fiyasko
Bob’un bir sonraki durağı, McDonald’s pazarlamacıları ve ajansları tarafından 120 ülkede kullanılan bir platform olan Good Feood Design Hub’dı. Bu sözde dahili portal, sadece istemci tarafı bir şifre, eski ve güvensiz bir uygulama ile korunmuştur. Üç ay sonra, McDonald’s uygun bir giriş sistemi tanıttı… ama kusursuz değil.
“Kayıt” olarak “giriş” değiştiren basit bir URL manipülasyonu, Bob’a eksik alanlarda onu yararlı bir şekilde yönlendiren bir kayıt formuna erişim sağladı. Doldurulduktan sonra, düz metin e -postası aracılığıyla bir şifre aldı. Evet, 2025’te.
Bu platform, kesinlikle “son derece gizli” olarak etiketlenmiş videoları barındırdı, kesinlikle dahili kullanım için. Ancak zayıf korumalar nedeniyle, yabancılar kurumsal medyaya kolayca kaydolabilir ve göz atabilir.
Maruz kalan API’ler ve arama dizinleri
Tasarım merkezinin javascriptini keşfederken Bob, bir MagicBell API anahtarı ve sır metin olarak maruz kalan gizli buldu. Bunlarla, herkes sosyal mühendislik saldırıları için açık bir kapı olan kimlik avı bildirimleri göndermek için McDonald’ın altyapısını taklit edebilir. McDonald’s sonunda Bob onları bildirdikten sonra anahtarları döndürdü.
Ayrıca, iç sistemlere, e -postalara, isimlere ve istek geçmişlerine erişim isteyen bireylerin kişisel verilerini içeren açık Algolia arama dizinlerini keşfetti.
Yönetici portallara yetkisiz erişim
Daha fazla araştırma, mürettebat düzeyindeki çalışanların yönetici sistemlerine erişebileceğini ortaya koydu. Arkadaşının mürettebat hesabını kullanarak Bob, çeşitli portallarda girişleri test etti. Böyle bir portal olan TRT (TRT.MCD.com), kullanıcıların küresel olarak herhangi bir McDonald’s çalışanını, hatta yöneticileri aramasına izin verdi, genellikle kişisel e -posta adreslerini ortaya çıkardı. Daha da şok edici, mürettebat üyelerinin hassas çalışan verilerini isim veya kimliğe göre çekmesine izin veren bir “kimliğe bürünme” özelliğiydi.
Franchise sahiplerine yönelik GRS (Global Restoran Standartları) aracının kimlik doğrulaması olmadan yönetici işlevleri vardı. Bob bunu hızlı bir şekilde tersine çevirdiği bir eylem olan ana sayfayı değiştirerek gösterdi, ancak McDonald’s arka ucunda boşluk deliklerini vurguladı.
COSMC’nin kuponları ve sipariş enjeksiyonu
McDonald’s’ın son deneysel restoranı bile COSMC’ler bile kurtulmadı. “Yeni Üye” kuponu süresiz olarak yeniden kullanılabilir çünkü arka uç bunu doğrulamadı. Bob ayrıca keyfi verileri siparişlere enjekte etme yeteneğini keşfetti ve başka bir kritik atlamayı ortaya çıkardı.
Gerçek meydan okuma? Raporlamak
McDonalds’taki bu güvenlik açıklarının ciddiyetine rağmen, en zor kısım bunları rapor etmekti. McDonald’s daha önce güvenlik kişileri yayınlamak için standart olan bir Security.txt dosyası eklemişti, ancak aylar sonra kaldırmıştı. Net bir raporlama kanalı olmadan Bob, LinkedIn’de bulduğu güvenlik çalışanlarının isimlerini bırakarak soğuk çağıran McDonald’s Genel Müdürlüğüne başvurdu. Tekrarlanan denemelerden sonra, birisi sonunda onu ciddiye aldı ve doğru temasa yönlendirdi.
Çözüm
McDonald’s sonunda sorunların çoğunu düzeltmesine rağmen, serpinti güvenlik yanıtlarında büyük boşluklar ortaya koydu. Bob’un arkadaşının kovulduğu bildirildi ve şirketin hala uygun bir güvenlik.
Hacking McDonalds, müşteri tarafı doğrulaması ve kimlik doğrulanmamış araçlar gibi basit gözetimlerin ciddi McDonalds güvenlik açıklarına yol açabileceğini ortaya koydu. Dijital güvenliğin gerekli olduğunu ve şirketlerin sorumlu açıklama ve proaktif korumaya öncelik vermesi gerektiği açık bir hatırlatıcıdır.