A McDonald’s biztonsági kapcsolattartóját nehezebb volt megtalálni, mint a cég titkos szószreceptjét – írta blogbejegyzésében a bobdahacker nevű biztonsági kutató, majd arról számolt be, hogyan jutott el attól, hogy ingyenes McNuggetseket szerzett a gyorsétteremlánc mobilalkalmazásán keresztül odáig, hogy ismételten hozzáfért a McDonald’s egy nem nyilvános, ám annál nagyobb platformjához. Számos hibát fedezett fel a gyorséttermi óriás partner- és alkalmazotti portáljain, amelyek érzékeny és bizalmas adatokat tartalmaztak.
A kutató először a McDonald’s kiszállítási alkalmazásában észlelt problémát: az alkalmazás csak kliensoldali (!) ellenőrzéseket futtatott a hűségpontok keresésekor, szerveroldali védelem nélkül. Ez lehetővé tette az ingyenes ételrendeléseket. Mikor a problémát jelenteni próbálta, először falakba ütközött. Ugyan sikerült elérnie egy szoftvermérnököt, aki viszont azt mondta, hogy túl elfoglalt ahhoz, hogy ezzel foglalkozzon, de majd keres valaki mást. Amikor viszont a kutató felvetette, hogy így sokan juthatnak ingyenkajához, máris lépett, és a hibát napokkal később kijavították.
E különös élmény után a szakember tovább kutakodott, és most a McDonald’s Feel-Good Design Hub került terítékre. Ez a márkaeszközök és marketinganyagok központi platformja, amelyet 120 országban használnak csapatok és ügynökségek. Ezt korábban ugyancsak kliensoldali jelszó védte.
Miután a szakember ezt jelezte, még három hónapig tartott a probléma kijavítása. Végül bevezettek egy megfelelő fiókrendszert, amely különböző bejelentkezési útvonalakat kínál az alkalmazottaknak és a küldő partnereknek. Azonban még mindig fennállt egy gond. „Csak annyit kellett tennem, hogy a „login”-t „register”-re változtattam az URL-ben, hogy létrehozzak egy új fiókot, amely hozzáférhet a platformhoz” – számolt be a kutató. A rendszer egyszerű szövegként küldte el a jelszavakat.
E-mailben elküldött jelszó, sima szövegként. 2025-ben
bobdahacker
Emellett JavaScriptben tette elérhetővé az API-kulcsokat, még nagyobb előnyt biztosítva a támadóknak. Mindez lehetővé tehette a jogosulatlan felhasználók számára, hogy megemelt alkalmazotti jogosultságokat kapjanak a vállalati adatok eléréséhez, és ugyancsak lehetővé tették a jogosulatlan hozzáférést a franchise-tulajdonosok weboldalának módosításához, az egyéb biztonsági kockázatok mellett.
A sebezhetőség demonstrálására egy percre megváltoztatták az egyik franchaise-tulajdonos honlapját
bobdahacker
A kutató egy McDonald’s-nál dolgozó barátját is felkérte, hogy keressen további hibákat az OAuth platformfüggetlen hitelesítési szabványával kapcsolatban, amely lehetővé teszi a személyzet különböző tagjai vagy alkalmazottai számára a rendszer elérését.
Korlátozott jogosultságaik ellenére azt tapasztalták, hogy egy alkalmazott hozzáférhet egy vállalati fiókhoz, amely lehetővé teszi, hogy bármelyik globális alkalmazottat megkeressen, megtekintse a McDonald’s vezetőihez kapcsolódó e-mail címeket, beleértve a személyes e-mail fiókokat is; és mindenkit megtaláljon az üzletvezetőktől a felsővezetőkig.
És még mindig nem ez volt a legkínosabb felfedezés. A hackert leginkább a vállalat lassú reagálása döbbentette meg (kivéve, amikor az ingyen ételekről volt szó). Ugyan volt egy .txt fájl a biztonsággal foglalkozók elérhetőségével, azonban azt hamar eltávolították az oldalról. Az internet archívumából, a Wayback Machine-ból ugyan ki lehetett keresni, de addigra már elavult lett az állomány. De akkor hogyan lehet biztonsági réseket jelenteni egy olyan vállalatnak, amelynek nincs biztonsági kapcsolattartója?
A szakember felhívta a McDonald’s központját, és elkezdte véletlenszerűen bedobálni a LinkedInen talált biztonsági alkalmazottak neveit. Végül valaki visszahívta, és megadta annak a számát, akinek jelenteni lehetett a problémákat.
A hacker szerint a McDonald’s a legtöbb hibát kijavította, de a Feel-Good Design Hub továbbra sem megfelelően védett. Időközben a cégnél dolgozó barátját „a vállalat biztonsági aggályai” miatt elbocsátották, bár bobdahacker azt mondja, nem tudja, hogyan sikerült megtalálniuk az illetőt. A McDonald’s pedig még mindig nem hozott létre megfelelő biztonsági jelentési csatornát – írja a hacker.
A szakember végül néhány tanácsot is megfogalmaz a „Meki” számára. Például, hogy tartsa naprakészen a security.txt fájlját, legyen tényleges biztonsági kapcsolattartója, illetve fontolja meg egy hibajavító program létrehozását, hogy a kutatók számára egyértelmű legyen a bejelentési folyamat.
Úgy tűnik, rájár a rúd az amerikai üzletláncra. Ahogy arról mi is hírt adtunk, nemrégiben a McDonald’s amerikai egységei által toborzásra használt McHire rendszer került be a hírekbe: az 123456 jelszó használata miatt 64 millió ember adatai kerültek veszélybe.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
