Hacking kolay kısımdı, McDonald’s’ın son derece zor bir kısmını bildiriyor
Pooja Tikekar (@Poojatikar) •
20 Ağustos 2025
Bir güvenlik araştırmacısı, URL’sinde tek bir kelimeyi değiştirerek McDonald’s Global Marketing Portalına erişim sağlayarak bir dizi ek güvenlik açıkını ortaya çıkardı. Kendini tanımlayan etik hacker “Bobdahacker”, zor kısım burger devini kusurlar hakkında bilgilendiriyordu.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Zaten McDonald’s Altyapısı’na girdikten ve bilgisayar korsanlarının Fast Food Corporations uygulaması aracılığıyla ücretsiz yiyecek almasına izin verebilecek bir kusur bulduktan sonra, araştırmacı ayrıca McDonald’s’ın “iyi hissetme tasarımı” olarak adlandırdığı pazarlama materyalleri için merkezi bir platform buldu. Platform, site adresini “oturum açma” dan “kayıt” olarak değiştirerek yetkisiz erişime izin verdi.
Araştırmacı, McDonald’s’ın araştırmaya yardımcı olan bir çalışanı kovduğunu söyledi.
“McDonald’s’ın security.txt İletişim bilgileri ile dosya. Ama ekledikten iki ay sonra çıkardılar, “Bobdahacker blogunda yazdı.” Sadece Wayback makinesinden buldum ve o zaman modası geçmişti. “
Security.txt, şirketlerin White Hat Hacker’ların güvenlik kusurlarını açıklamak için yönlendirmeleri için önerilen bir standarttır. .well-known. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Avustralya Siber Güvenlik Merkezi ve Google, Facebook ve Cloudflare gibi büyük şirketler gibi çeşitli devlet kurumlarının onaylanmasına sahiptir.
Bobdahacker, soğuk çağırma şirket merkezine başvurdu ve bulguları kabul etmek için LinkedIn’de bulunan güvenlik personelinin isimlerini kullandı. “Sonunda yeterince önemli biri beni geri arayan ve bana bu sorunları bildirmek için gerçek bir yer verene kadar rastgele güvenlik çalışan isimlerini söyleyerek aramaya devam ettim.” McDonald’s yorum talebine cevap vermedi.
Bir restoranda çalışan bir arkadaşımın yardımına sahip olan Bobdahacker, “mürettebat üyelerine” verilen düşük seviyeli kimlik bilgilerinin – kasa kaydını yöneten veya ızgarayı çalıştıran çalışanların – dünyanın dört bir yanındaki herhangi bir McDonald çalışanının e -posta adresini almak için çalıştığını buldu. Bobdahacker, “OAuth güvenlik açıklarını araştırmama yardım eden arkadaşım ‘kurumsaldan güvenlik endişeleri’ için izin verdi.”
İyi hissettiren tasarım merkezinde, araştırmacı çalışan bildirimlerini göndermek için kullanılan bir API anahtarı buldu. Anahtar ile bir saldırganın “temel olarak McDonald’s’ın kendi altyapısıyla bir kimlik avı kampanyası yürütmesi” olabilir.
Global restoran standartları olarak adlandırılan franchise sahiplerine adanmış bir platformda Bobdahacker, yönetici işlevleri için kimlik doğrulaması olmadığını ve ana sayfada çizgi film karakteri Shrek’in bir görüntüsünü geçici olarak göndermesine yol açtığını buldu. Bir bilgi yönetim platformu, meşru bir kimlik bilgisi olan herkesin “dahili kurumsal belgeleri” okuyabileceği şekilde yapılandırılmıştır.
Bu, McDonald’s’ın ikinci kez, araştırmacıların altyapısında güvenlik kusurları buldukları aylardır. Araştırmacılar Ian Carroll ve Sam Curry, Temmuz ayında yapay zeka yakıtlı bir işe alım sohbet aracının “123456” şifresini kabul ettiğini ve ilgili bir API kusurunun başvuru sahibine erişim sağladığını keşfettiler. Bu durumda, McDonald’s sorgulara cevap verdi ve Chatbot’un arkasındaki AI firması olan Paradoks’daki kusuru suçladı (bakınız: Breach Roundup: McDonald’s’ın ‘123456’ şifresini seviyorum).