Хакер вскрыл секрет бесплатной еды: как McDonald’s проглядел уязвимости

В мире больших цифр и маленьких багов оказалось место для McDonald's. Специалист по кибербезопасности под ником BobDaHacker заметил, что цифровые сервисы компании не так уж защищены, как обещают рекламные слоганы. Он выявил несколько уязвимостей, которые позволяли обходить систему регистрации и даже получать еду почти бесплатно.

Когда пароль летит в открытый эфир

Оказалось, что пароли при регистрации передавались без шифрования, а в коде сайта оставались открытые API-ключи. Кроме того, замена login на register в адресной строке обходила защиту. Хакер отмечал, что реакция компании на сообщения о проблемах шла медленно: на внедрение системы учётных записей ушло около трёх месяцев.

Бесплатные бургеры — не шутка

Самая опасная ошибка крылась в мобильном приложении. Оно проверяло бонусные баллы только на стороне пользователя, позволяя оформлять заказы без реальных накоплений. Таким образом, еда могла доставаться практически даром. BobDaHacker пытался донести информацию через официальные каналы, но был вынужден обратиться напрямую в штаб-квартиру компании.

Исправления и последствия

Большинство проблем устранили, но специалист отметил, что процесс исправления оставлял желать лучшего. Один из сотрудников, участвовавших в исправлении, позже был уволен. История оставила впечатление, что даже гиганты фастфуда не застрахованы от собственной цифровой рассеянности.