- Исследователь считает, что бесплатные самородки в системах McDonald’s подвергаются гораздо более глубоким дефектам
- McDonald’s, очевидно, не имеет очевидного способа для исследователей сообщать о слабостях.
- Изменение URL -адреса с «регистрации» в «Регистр» предоставленного доступа к учетной записи
То, что началось как попытка претендовать на бесплатную еду через систему вознаграждений McDonald’s Appwards, стало чем -то более откровенным для эксперта.
Исследователь безопасности, известный как «Bobdahacker», обнаружил серьезные слабости в онлайн -системах McDonald’s, и попытался выкупить вознаграждение за бесплатные McNuggets через мобильное приложение компании.
Ошибка пошла глубоко и предоставил доступ к «Hub Design Design», центральной платформе для маркетинговых активов и материалов бренда, используемых сотрудниками и агентствами в более чем 120 странах.
Сообщать о проблемах безопасности
Попытки раскрыть эти ошибки подчеркнули другую проблему: у McDonald’s не было четкого способа для исследователей сообщать о слабых местах -поступив к Бобу, у компании однажды имел контакт с файлом «безопасности», который исчез только через несколько месяцев после публикации.
Без прямых каналов раскрытия Боб Линкедин должен был пройти через имена персоналов и неоднократно вызывать штаб -квартиру, пока кто -то наконец не ответил.
Этот процесс показывает, что другие исследователи могут охватить нужных людей задолго до своих результатов.
Даже после того, как McDonald’s заменил свою систему паролей на регистрацию учетной записи, был еще один надзор.
Изменив «вход» в «Регистрации» в URL, Боб смог создать новые учетные записи с полным доступом.
Хуже того, при регистрации система отправила практику дискредитироваться в течение десятилетий по e -Mail в простые текстовые пароли через e -mail -mail на десятилетия Кража личных данных и злоупотребление.
В то время как компании McDonald’s Scale сталкиваются с уникальными проблемами при внедрении безопасных систем, такие основные неудачи вызывают сложные вопросы о приоритетах.
Это не первый случай, когда McDonald’s был исследован в слабых защитных мерах, так как только месяц назад появилась другая проблема, чем платформа, которая хранит частные данные, была защищена паролем «123456».
Если ошибки используются неоднократно, используются сомнения, используются ли брандмауэры, безопасности или даже внутренние обзоры -внутренние, используются последовательно.
Для компании с глобальным диапазоном нет никаких последствий, которые выходят за рамки маркетинговых активов, потому что на карту может быть поставлена информация о сотрудниках и клиентах.
Согласно сообщениям, McDonald’s определил большинство слабых мест, отмеченных Бобом, но компания не восстановила надежный канал отчета для будущих раскрытий.
Без этого риск того, что серьезные дефекты будут упускать из виду или игнорироваться, пока они не будут эксплуатируются.
Вы также могли бы понравиться
