В McDonald’s обнаружили баг, который позволял заказывать еду бесплатно

Специалист по кибербезопасности под ником BobDaHacker обнаружил серьезные уязвимости в цифровых сервисах McDonald’s, сообщили в Tom’s Hardware. Он отметил, что компания медленно реагировала на сообщения о проблемах, и внедрение системы учетных записей на платформе Feel-Good Design Hub заняло около трех месяцев.

Даже после обновлений защиту можно было обойти, заменив в адресной строке login на register. Кроме того, при регистрации пароли передавались без шифрования, а в коде JavaScript оставались открытые API-ключи, которые могли быть использованы для фишинговых атак под видом McDonald’s.

Наиболее опасной оказалась ошибка в мобильном приложении, которое проверяло бонусные баллы только на стороне пользователя. Это позволяло оформлять заказы без наличия реальных баллов, фактически получая еду бесплатно.

BobDaHacker столкнулся с трудностями при попытках донести информацию до компании и был вынужден напрямую связываться с штаб-квартирой McDonald’s. Большинство проблем устранили, но специалист отметил, что процесс исправления уязвимостей оставлял желать лучшего, а один из сотрудников, помогавших в этом, впоследствии был уволен, передает издание.

Ранее хакерские группировки Killnet, Palach Pro, User Sec и Beregini заявили о взломе базы данных Генштаба ВСУ. Хакеры утверждают, что доступ к информации получили благодаря вирусу «Нюанс». Программа якобы работает только на территории Украины, заражает устройства, выгружает данные и делает их восстановление невозможным.