Исследователь в области кибербезопасности, выступающий под псевдонимом BobDaHacker, выявил ряд серьёзных уязвимостей в цифровых системах McDonald's, сообщает портал Tom’s Hardware.
По его словам, компания медленно реагировала на сообщения о проблемах. Например, в платформе Feel-Good Design Hub создание полноценной системы учётных записей заняло около трёх месяцев после уведомления. Даже после внедрения обновлений оставалась возможность обойти защиту — достаточно было заменить в адресной строке слово login на register.
Кроме того, система регистрации передавала пароли в незашифрованном виде, а в JavaScript-коде присутствовали открытые API-ключи, которые могли быть использованы для фишинговых атак от имени бренда.
Одна из обнаруженных уязвимостей позволяла получать бесплатную еду — мобильное приложение проверяло бонусные баллы только на стороне клиента, что открывало доступ к бесплатным заказам.
При этом исследователь столкнулся с трудностями при попытках передать информацию об уязвимостях — ему даже пришлось звонить в штаб-квартиру компании. В итоге большинство проблем удалось устранить, но сам процесс работы с уязвимостями в McDonald's остался, по его мнению, далёким от идеала. Один из сотрудников, помогавший в расследовании, в итоге был уволен.