Hibák a McDonald’s webes alkalmazásaiban

A McDonald’s 2024 márciusi leállását követően újabb veszélyek fenyegetik az étteremláncot: egy független biztonsági kutató több súlyos sebezhetőséget talált a McDonald’s különböző rendszereiben. Az első hibát a jutalomrendszerben fedezte fel: a mobilalkalmazás csak kliensoldalon ellenőrizte a felhasználói pontokat, így bárki szerezhetett ingyen ételt.

Ezt követően feltérképezte a cég Feel-Good Design Hub platformját, ahol először kliensoldali jelszóvédelem, majd nyílt regisztrációs végpont és plaintext jelszóküldés volt jellemző – mindezek 2025-ben. Emellett felfedezett bárki által elérhető módon tárolt API kulcsokat, nyilvános Algolia indexeket, és számos hibát, amelyek lehetővé tették a belső adatok, dolgozók elérését akár alacsony jogosultságú crew fiókokkal is. A GRS adminisztrációs felület például teljesen autentikáció nélkül elérhető volt.

A kutató végül az egyik legsúlyosabb problémát is demonstrálta: a TRT rendszerben az “Impersonation” funkció lehetővé tette, hogy crew szintű alkalmazottak hozzáférjenek bármely McDonald’s dolgozó adataihoz, beleértve a vezetőket is. A CosMc’s nevű új étteremlánc API-jában is talált sérülékenységeket, például korlátlan kuponhasználatot és rendelési mezőmanipulációt. A sebezhetőségek bejelentése viszont rendkívül nehézkes volt: a vállalat eltávolította a security.txt fájlt, és csak egy közvetlen, kreatívan kivitelezett hideghívás-sorozattal sikerült kapcsolatba lépni egy illetékes munkatárssal. Bár sok hibát javítottak, az incidens után a kutatót segítő alkalmazottat elbocsátották, hivatalos hibabejelentési csatorna pedig azóta sem jött létre.

(forrás)