Besplatni nuggetsi zbog baga: Mekdonalds u haosu, procureli poverljivi podaci

U "Mekdonalds" aplikaciji za nagrade, usledila je greška gde je samo jedna šifra omogućila pristup poverljivim materijalima namenjenim isključivo internom korišćenju, a ujedno i besplatne nuggetse.

Istraživač koji se potpisuje kao BobDaHacker uspeo je da otkrije da se validacija poena odvija samo na korisničkoj strani aplikacije, što je značilo da su korisnici mogli da naručuju besplatne proizvode, poput nuggetsa, bez stvarno zarađenih poena.

Pokušaji da upozori kompaniju naišli su na zid, jedan od inženjera čak je odbacio prijavu jer je bio "prezauzet". Bag je ipak zakrpljen tek nekoliko dana kasnije. Ali to je bio samo početak.

Kopajući dublje po Mek Donalds sistemima, istraživač je pronašao ozbiljne propuste na platformi Design Hub, alatu koji koriste timovi u više od 120 zemalja. Sistem je štitila samo lozinka na strani klijenta, što je omogućilo ulazak svakome ko je znao kako da manipuliše URL-ovima. Još gore, podaci su se slali na mejl u čistom tekstu, bez ikakve enkripcije, što je 2025. gotovo nezamisliv bezbednosni propust.

Otkriveni podaci zaposlenih i kandidata

U okviru provere, BobDaHacker je otkrio i otvorene endpoint tačke koje su omogućavale kreiranje novih naloga bez ikakve zaštite. To je otvorilo vrata za pristup poverljivim materijalima namenjenim isključivo internom korišćenju.

Foto: Tanjug/AP

Još alarmantnije bilo je otkriće da osnovni nalozi zaposlenih mogu da pristupe alatima namenjenim rukovodiocima, pa čak i da koriste funkciju "impersonacije", kojom je bilo moguće preuzeti identitet drugih zaposlenih i pregledati njihove podatke.

Na taj način, mejlovi menadžera i detalji o globalnim zaposlenima postali su dostupni svakome ko zna kako da probije sistem.

McDonald’s se suočio i sa curenjem ogromne baze podataka kandidata za posao. Propust u AI sistemu za zapošljavanje otkrio je čak 64 miliona prijava, sa ličnim podacima kandidata, zbog korišćenja jednostavne lozinke "123456".

Većina problema je nakon višemesečne borbe zakrpljena, ali pojedini propusti, poput otvorenog registra, i dalje navodno postoje. Tragičan epilog cele priče je otpuštanje jednog od saradnika istraživača, koji je proglašen "bezbednosnim rizikom".

Foto: Foto: Shutterstock

Stručnjaci ističu da McDonald’s i dalje nema jasno definisan bug bounty program niti sigurnosni kanal za prijavu ranjivosti, što dovodi do rizika da slični problemi ponovo isplivaju na površinu, prenosi Telegraf.

Ostavite komentar

Pravila komentarisanja:

Komentare objavljujemo prema vremenu njihovog pristizanja. Prednost u objavljivanju komentara imaće registrovani korisnici. Molimo Vas da ne pišete komentare velikim slovima, kao i da vodite računa o pravopisu.

Redakcija Informer.rs zadržava pravo izbora, brisanja komentara, ili modifikacije komentara koji će biti objavljeni. Prema Zakonu o informisanju zabranjeno je objavljivanje svih sadržaja koji podstiču diskriminaciju, mržnju ili nasilje protiv lica ili grupe lica zbog njihovog pripadanja ili nepripadanja određenoj rasi, veri, naciji, etničkoj grupi, polu ili zbog njihovog seksualnog opredeljenja.

Nećemo objavljivati komentare koji sadrže govor mržnje, psovke i uvrede. Sadržaj objavljenih komentara ne predstavlja stavove redakcije Informera ili portala Informer.rs, već isključivo stavove autora komentara.

Sugestije ili primedbe možete da šaljete na redakcija@informer.rs.