Post #4594

Золотые арки Хакер взломал McDonald's и обнаружил, что найти контакт службы безопасности сложнее, чем бесплатно питаться у них. Всё началось с мобильного приложения, где валидация бонусных баллов происходила только на клиенте. Парень мог заказывать еду бесплатно, просто подменив значения. Когда он попытался сообщить об этом, инженер McDonald's сказал, что «слишком занят» для приёма отчётов о безопасности. Затем исследователь нашёл Design Hub компании — центральную платформу для брендинговых материалов, используемую в 120 странах. И обнаружил, что пароль оказался захардкожен во фронте. После отчёта об этом, они тянули три месяца и только тогда сделали нормальную систему учётных записей с раздельными путями входа для сотрудников McDonald's и для внешних партнёров. Но ручку регистрации так и не закрыли, любой мог зарегистрироваться, просто поменяв login на register в URL 🥴 Поскольку этого было мало, разработчики решили, что пароли будут приходить в открытом тексте по email, а API-ключи Magicbell будут лежать прямо в JavaScript, позволяя отправлять фишинговые уведомления от имени McDonald's. Видимо, уроки с паролем «123456» в системе найма ничему не научили. Напоследок, чтобы сообщить обо всём этом, хакеру пришлось звонить в штаб-квартиру и называть случайные имена сотрудников безопасности с запрещённого в РФ аналога hh. НеКасперский