Zhakował McDonald's zmieniając jedno słowo w adresie - sprawdź jak to możliwe

Badacz bezpieczeństwa znany jako "BobDaHacker" ujawnił kolejne problemy z zabezpieczeniami w systemach McDonald's. Tym razem chodzi o platformę "Feel-Good Design Hub", którą sieć fast food wykorzystuje do zarządzania materiałami marketingowymi w 120 krajach.

Początkowo platforma była "zabezpieczona" jedynie hasłem sprawdzanym po stronie przeglądarki, co stanowi podstawowy błąd w projektowaniu systemów. Po zgłoszeniu McDonald's potrzebował aż trzech miesięcy na wdrożenie właściwego systemu logowania dla pracowników i partnerów zewnętrznych.

Incydenty te pokazują, jak wielkie korporacje wciąż lekceważą podstawowe zasady cyberbezpieczeństwa.

Okazało się jednak, że nowe zabezpieczenia można było łatwo ominąć. Wystarczyło zmienić słowo "login" na "register" w adresie URL, aby utworzyć nowe konto z pełnym dostępem do platformy. Co gorsza, system automatycznie wysyłał hasła w formie zwykłego tekstu - to praktyka uznawana za nieprofesjonalną od dekad.

McDonald's znów w centrum skandalu bezpieczeństwa

Dostając się na platformę badacz uzyskał dostęp do poufnych materiałów marketingowych oraz funkcji wyszukiwania pracowników McDonald's na całym świecie, włączając w to ich adresy email.

Szczególnie problematyczne okazało się zgłaszanie luk w zabezpieczeniach. McDonald's usunął swój plik security.txt zaledwie dwa miesiące po jego utworzeniu. BobDaHacker musiał dzwonić do centrali firmy i podawać losowe nazwiska pracowników znalezione na LinkedIn, by w końcu dotrzeć do właściwej osoby.

McDonald's potrzebował aż trzech miesięcy na wdrożenie właściwego systemu logowania.

To już drugi poważny problem z bezpieczeństwem McDonald's w ciągu miesiąca. Wcześniej inna platforma firmy była zabezpieczona hasłem "123456". Incydenty te pokazują, jak wielkie korporacje wciąż lekceważą podstawowe zasady cyberbezpieczeństwa.