Bir güvenlik araştırmacısı, McDonald’s dijital altyapısında hassas müşteri verilerini ortaya çıkaran ve dahili kurumsal sistemlere yetkisiz erişime izin veren birden fazla kritik güvenlik açığı ortaya koymuştur.
Araştırmacı, bu kusurları birkaç ay boyunca keşfetti ve sonuçta geleneksel güvenlik kanallarının etkisiz olduğu kanıtlandığı sorunları bildirmek için alışılmadık bir yaklaşım gerektirdi.
Ücretsiz gıda istismarı daha derin araştırmaya yol açar
Soruşturma, araştırmacı McDonald’s Mobil Uygulamasının sadece ödül puanları için müşteri tarafı doğrulaması yaptığını ve kullanıcıların yeterli puan olmadan potansiyel olarak ücretsiz yiyecek talep etmelerini sağladığını keşfettiğinde başladı.
Bu ilk bulguyu uygun kanallar aracılığıyla bildirmek için mücadele ettikten sonra, araştırmacı McDonald’ın güvenlik duruşunu araştırmaya devam etti ve önemli ölçüde daha ciddi güvenlik açıklarını ortaya çıkardı.
McDonald’s, 120 ülkede kullanılan marka varlıkları ve pazarlama materyallerini içeren merkezi bir platform olan iyi hissettiren tasarım merkezi, başlangıçta sadece müşteri tarafı şifre doğrulaması ile korundu.
Şirket, araştırmacının raporunu takiben uygun bir kimlik doğrulama sistemi uyguladıktan sonra bile, URL’deki “kayıt” ı değiştirerek kimsenin erişim için kaydolmasına izin veren kritik bir kusur kaldı.
Kayıt sistemi, hangi alanların gerekli olduğunu gösteren yararlı hata mesajları sağlayarak yetkisiz hesap oluşturmayı basit hale getirecektir.
Daha çok, platform, 2025’te büyük bir şirket için temel bir güvenlik uygulama başarısızlığını temsil eden yeni kullanıcılara düz metin olarak şifreleri e -postayla gönderecektir.
Araştırmacı, McDonald’s API anahtarlarını ve sırlarını doğrudan tasarım merkezinin JavaScript koduna gömülü buldu, bu da kötü niyetli aktörlerin resmi görünen McDonald’ın bildirimlerini kullanıcılara göndermelerini veya şirketin kendi altyapısını kullanarak sofistike kimlik avı kampanyaları yapmasını sağlayabilir.
Ayrıca, McDonald’s Algolia arama yapılandırması, çeşitli McDonald’s sistemlerine erişim isteyen kullanıcıların kişisel bilgilerini içeren birden fazla dizin açtı.
Belki de en rahatsız edici, temel mürettebat üyesi hesapları, McDonald’s çalışan portal altyapısı aracılığıyla yönetici düzeyinde sistemlere erişebilir.
Yalnızca kurumsal kullanım için tasarlanan TRT sistemi, herhangi bir mürettebat üyesinin mağaza yöneticilerinden C-suite yöneticilerine kadar küresel olarak McDonald’s çalışanlarının iletişim bilgilerini aramasına ve görüntülemesine izin verdi.
Sistem, ayrıntılı çalışan bilgileri sağlayan bir “kimliğe bürünme” özelliği bile içeriyordu.
Franchise sahipleri için tasarlanan Global Restoran Standartları (GRS) sisteminin idari işlevler için kimlik doğrulama gereksinimi yoktu.
Araştırmacı bunu, ana sayfa içeriğini korunmasız API uç noktaları aracılığıyla geçici olarak değiştirerek gösterdi ve kötü niyetli aktörlerin platformu ne kadar kolay manipüle edebileceğini vurguladı.
Araştırmacı, sorumlu açıklamaya çalışırken, nihayetinde McDonald’s merkezini aramaya başvururken ve güvenlik açığı raporları almaya yetkili biriyle bağlantı kurana kadar LinkedIn tarafından keşfedilen güvenlik çalışanlarını rastgele adlandırırken önemli engellerle karşılaştı.
McDonald’s daha önce güvenlik iletişim bilgileri yayınlamıştı, ancak uygulamadan kısa bir süre sonra kaldırmış ve güvenlik araştırmacıları için net bir raporlama mekanizması bırakmamıştır.
McDonald’s o zamandan beri bildirilen güvenlik açıklarını ele almıştır, ancak olay, kurumsal güvenlik uygulamalarında devam eden zorlukları ve büyük tüketici markaları için sorumlu ifşa süreçlerini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!