Утверждение, что доступ к конфиденциальной информации McDonald's стал столь же простым, как заказ еды, вызывает серьёзные вопросы к безопасности компании. Исследователь под псевдонимом BobDaHacker утверждает, что перешёл от эксплуатации мобильного приложения для получения бесплатных McNuggets к неоднократному доступу к платформе Feel-Good Design Hub, якобы предназначенной исключительно для сотрудников и франчайзи. Эта платформа, используемая в 120 странах для хранения брендовых активов и маркетинговых материалов, по словам исследователя, имела защиту в виде пароля на стороне клиента — подход, давно признанный устаревшим и небезопасным.
Хотя BobDaHacker уведомил McDonald's об этой уязвимости, компании, как утверждается, потребовалось три месяца, чтобы внедрить систему аккаунтов с разделением доступа для сотрудников и партнёров. Однако даже после этого простая замена "login" на "register" в URL якобы позволяла создать аккаунт и получить доступ к платформе.
Критика организаций за медленное устранение уязвимостей часто бывает поспешной, учитывая сложность разработки ПО в масштабах крупной корпорации. Однако трёхмесячная задержка в исправлении столь критической проблемы, обходимой банальной манипуляцией с URL, поднимает вопросы о приоритетах McDonald's в области безопасности. Ещё более тревожно, что регистрация аккаунта, по словам BobDaHacker, сопровождалась отправкой пароля в открытом виде — практика, недопустимая уже десятилетиями.
BobDaHacker также указывает на отсутствие эффективного канала для сообщений об уязвимостях. Якобы существовавший файл security.txt был удалён через два месяца, и исследователю пришлось прибегнуть к поиску сотрудников на LinkedIn и многократным звонкам в штаб-квартиру, чтобы установить контакт. Это, если правда, указывает на системные проблемы в процессах McDonald's. Утверждается, что большинство уязвимостей были исправлены, но компания уволила друга исследователя, помогавшего в анализе, и не создала канал для сообщений о безопасности. Отсутствие security.txt и релевантных результатов по запросу "McDonald's security disclosure" подтверждают эти претензии.
Ранее сообщалось о другой уязвимости McDonald's, где платформа использовала пароль "123456". Теперь BobDaHacker утверждает, что получил доступ к конфиденциальной маркетинговой информации и данным сотрудников по всему миру. Без независимой верификации масштаб этих уязвимостей остаётся под вопросом, но описанные недостатки требуют тщательной проверки. McDonald's, как глобальная корпорация, должна оперативно внедрять современные стандарты безопасности и прозрачные процессы для взаимодействия с исследователями, чтобы подобные инциденты не повторялись.
Оригинал
Уникальность
