Ücretsiz gıda istismarlarından maruz kalan yürütme verilerine kadar McDonald’s dijital altyapısında bir dizi endişe verici güvenlik açıkları.
Basit bir uygulama aksaklığı olarak başlayan şey, LinkedIn’de bulduğu güvenlik çalışanlarından bahsederken, şirketin karargahını soğuk çağıran araştırmacı Bobdahacker ile sonuçlanan bir ay süren bir duruşmaya dönüştü. Düzeltmeler ancak duyulacak olağanüstü çabalardan sonra uygulandı.
Her şey McDonald’s Mobile uygulamasıyla yeterince masum başladı. Araştırmacı, ödül puanları doğrulamasının yalnızca istemci tarafı işlendiğini ve kullanıcıların Nuggets gibi ücretsiz öğeleri yeterli puan almadan talep etmelerini sağladığını keşfetti.
Bobdahacker bunu bildirmeye çalışır, bir yazılım mühendisinin onu “çok meşgul” olarak reddetmesine yol açtı, ancak hatalar günler sonra, muhtemelen mühendis kendisini araştırdıktan sonra yamalı.
McDonald’s sistemlerinin derinliklerini araştırdı ve 120 ülkedeki ekipler tarafından marka varlıkları için kullanılan bir platform olan Design Hub’daki güvenlik açıklarını keşfetti. Bu platform, koruma için bir istemci tarafı şifresine dayanıyordu.
Bu sorunu bildirdikten sonra şirket, çalışanlar ve ortaklar için uygun girişleri uygulamak için üç aylık bir revizyonda bulundu. Bununla birlikte, önemli bir kusur kaldı: URL’de “kayıt” için “giriş” değiştirerek açık bir uç noktaya erişilebilir.
API ayrıca, herhangi bir eksik alanda kullanıcılara rehberlik etti ve hesap oluşturmayı endişe verici bir şekilde kolaylaştırdı. Daha da önemlisi, şifreler 2025’te son derece riskli bir uygulama olan düz metin e -posta yoluyla gönderildi.
Bobdahacker, sonraki testler, son noktaya hala erişilebilir olduğunu doğruladı ve sadece dahili kullanım için amaçlanan gizli malzemelere yetkisiz erişime izin verdi.
Tasarım merkezindeki JavaScript dosyaları daha fazla ortaya çıktı: Maruz kalan MagicBell API anahtarları ve sırlar, kullanıcıların listelemesine izin verilen ve McDonald’s Altyapısı aracılığıyla kimlik avı bildirimleri göndermesine izin verdi. Bunlar rapor sonrası döndürüldü. Algolia arama dizinleri de listelenebilirdi, isimler, e -postalar ve erişim istekleri gibi kişisel verileri ortaya çıkardı.
Çalışan portalları eşit derecede savunmasız olduğunu kanıtladı. Temel mürettebat üye hesapları, yöneticilerin e -postaları da dahil olmak üzere küresel çalışan ayrıntılarını aramak ve hatta bir “kimliğe bürünme” özelliği kullanmak için kurumsal bir araç olan TRT’ye erişebilir.
Global Restoran Standartları (GRS) panelinde yönetici işlevleri için kimlik doğrulaması yoktu ve herkesin API’ler aracılığıyla HTML enjekte etmesine izin verdi. Göstermek için, araştırmacı ana sayfayı geri dönmeden önce “sen shreked” olarak değiştirdi.
Diğer konular arasında yanlış yapılandırılmış stravito erişimi, dahili belgelerin düşük seviyeli personele maruz bırakılması ve COSMC’nin sınırsız kupon itfa ve keyfi sipariş veri enjeksiyonu gibi deneysel restoran uygulamasında istismarları içermektedir.
Geçen ay McDonald’s AI destekli işe alımında ciddi bir güvenlik açığı, “123456” parolasını kullanarak zayıf güvenlik yoluyla 64 milyon iş başvurusunda bulunanların kişisel verilerini ortaya çıkardı.
Sonrasında, çoğu güvenlik açıkları ele alınmıştır, ancak bazıları, kayıt uç noktası gibi, Mayıs ayında oyalanır. Trajik bir şekilde, bir işbirlikçisi ilgili “güvenlik endişeleri” üzerinde reddedildi. McDonald’s henüz bir hata ödül programı veya güvenilir raporlama mekanizması oluşturmadı.
Araştırmacı tavsiyeler sunar: güncel bir güvenlik. Bu bölüm, küresel şirketlerde gevşek güvenliğin tehlikelerinin altını çiziyor ve araştırmacılar onları korumak için gidiyor.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →