В McDonald’s обнаружен критический баг, позволяющий заказывать еду бесплатно

Согласно информации, опубликованной в Tom’s Hardware, эксперт в области кибербезопасности, известный как BobDaHacker, выявил критические недостатки в системе цифровых услуг McDonald’s. Он подчеркнул, что реакция компании на уведомления о найденных проблемах была крайне замедленной, а реализация механизма создания учетных записей на платформе Feel-Good Design Hub заняла приблизительно три месяца.

Даже после внесённых изменений в системе защиты оставались бреши, позволяющие обходить её путем простой замены слова login на register в URL-адресе. К тому же, при регистрации пользовательские пароли передавались в незашифрованном виде, а в программном коде JavaScript хранились незащищенные API-ключи, что создавало угрозу фишинговых атак, маскирующихся под McDonald’s.

Наиболее серьезной оказалась уязвимость в мобильном приложении, где проверка бонусных баллов осуществлялась исключительно на стороне клиента. Это открывало возможность оформления заказов без фактического наличия необходимого количества баллов, позволяя, по сути, получать продукты бесплатно.

BobDaHacker столкнулся со сложностями в процессе передачи информации об уязвимостях компании и был вынужден напрямую обращаться в главный офис McDonald’s. Несмотря на то, что большинство проблем было решено, специалист указал на несовершенство процесса исправления уязвимостей и на последующее увольнение одного из сотрудников, принимавших участие в устранении этих недостатков.

Обратите внимание: Старая пора вернется с 23 августа: Жителей Тольятти ожидают погодные аномалия под конец лета