Кібердослідник із псевдонімом BobDaHacker розповів, як випадково знайшов критичну уразливість у внутрішніх системах McDonald’s. Усе почалося з того, що він намагався активувати бонус на безкоштовні McNuggets у застосунку компанії.
Як повідомляє Tom’s Hardware, Bob з’ясував, що платформа McDonald’s Feel-Good Design Hub, яка використовується співробітниками та партнерами більш ніж у 120 країнах для доступу до маркетингових матеріалів і бренд-ресурсів, захищалася лише клієнтським паролем. Після повідомлення про проблему компанія за три місяці реалізувала нову систему облікових записів, але й вона виявилася ненадійною.
Як працював баг
За словами дослідника, достатньо було змінити слово «login» на «register» в URL, щоб створити новий акаунт і отримати доступ до закритої платформи. При цьому система надсилала паролі у відкритому тексті, що є грубим порушенням базових стандартів безпеки.
Крім цього, вразливість відкривала доступ до конфіденційних маркетингових матеріалів компанії. Також через систему можна було знайти будь-якого співробітника McDonald’s у світі та переглянути його корпоративну адресу електронної пошти.
