Хакерский инцидент в McDonald's: уязвимости и доступ к данным

Исследователь BobDaHacker нашёл уязвимости в инфраструктуре McDonald s угрожающие конфиденциальности данных клиентов и безопасности корпоративных систем Компания медленно устраняла эти проблемы mcdonalds уязвимость исследование информационнаябезопасность Подробнее

McDonald s взломали и это было слишком просто белая хакерша с ником БобДаХакер даже повесила на сайте картинку со Шреком потому что в McDonald s не спешили всё фиксить Бесконечные наггетсы каждый мог изменить код в браузере и заказывать тысячи бесплатных доставок Все глобальные баннеры упаковка и промо редактировались одной заменой слова в ссылке с login на register Пароль 123456 защищал базу из 64 млн анкет работников и соискателей по всему миру Когда McDonald s узнали про наггетсы за 0 пофиксили за сутки Все остальное чинили месяцами Или не чинили вообще concertzaal

В онлайн сервисах и внутренних порталах McDonald s были обнаружены критические уязвимости позволявшие злоумышленникам бесплатно оформлять заказы и управлять маркетинговыми ресурсами компании Главная проблема скрывалась в приложении доставки проверка баланса перед оплатой выполнялась на стороне клиента Здесь о кибербезе

Хакер вскрыл систему McDonald s ради бесплатных наггетсов а обнаружил уязвимости на миллионы долларов История о том как хакер энтузиаст взломал цифровую инфраструктуру McDonald s ради бесплатных наггетсов обернулась масштабным расследованием безопасности вскрывшим десятки уязвимостей в системах корпорации Пользователь под ником BobDaHacker опубликовал 17 августа 2025 года подробный отчёт в котором шаг за шагом описал как тривиальная ошибка в приложении для начисления бонусов позволила ему углубиться в куда более серьёзные проблемы Мобильное приложение не проверяло количество бонусных баллов на стороне сервера ограничившись клиентской валидацией При минимальной модификации трафика можно было получать еду без накопленных очков Сайт оказался защищён только клиентским паролем устаревшей практикой не обеспечивающей реальной защиты На платформе хранились помеченные как конфиденциальные видеоматериалы доступ к которым мог получить любой кто прошёл подобную регистрацию В скриптах сайта BobDaHacker обнаружил открытые ключи Magicbell API позволявшие отправлять поддельные уведомления от имени инфраструктуры McDonald s История про пароль 123456 ничему их так и не научила Этичный хакер

Хакер взломал McDonald s но не смог сообщить им об этом из за отсутствия кнопки обратной связи с компанией Началось всё с того что BobDaHacker захотел бесплатных наггетсов но по пути ему удалось получить доступ к строго конфиденциальным маркетинговым материалам поиску информации о любых сотрудниках по всему миру созданию новых аккаунтов сотрудников компании в базе Подписывайся на ГлавХак YouFast VPN AML бот Шерлок

У компании McDonald s в работе программного обеспечения выявлены уязвимости которые позволяют любому желающему оформить бесплатные заказы онлайн из ресторанов получить права администратора управлять маркетинговыми материалами компании Кроме того одна из этих уязвимостей дает возможность злоумышленнику обзавестись корпоративной почтой McDonald s Белый хакер Bobdahacker обнаружил что приложение сервиса доставки McDonald s осуществляет проверку счета пользователя на предмет наличия достаточной суммы для оформления заказа исключительно на стороне клиента Эта особенность позволяет заказать доставку онлайн практически на любую сумму в действительности не заплатив ни копейки banksta

Хакер нашёл способ бесплатно питаться в McDonald s и множество других уязвимостей исправлять их компания не спешила Исследователь BobDaHacker обнаружил множество уязвимостей в цифровой инфраструктуре McDonald s которые раскрывали конфиденциальные данные клиентов и позволяли осуществлять несанкционированный доступ к внутренним корпоративным системам Он отметил что компания крайне медленно занималась их устранением mcdonalds уязвимость исследование информационнаябезопасность

Киберзащита McDonald s оказалась дырявым забором Хакер по имени BobDaHacker не просто успешно взломал сразу несколько онлайн ресурсов McDonald s а обнаружил настолько очевидные прорехи в их защите что становится странно как компания стоимостью в миллиарды долларов допустила их появление Более того даже заставить ее починить защиту стало настоящим вызовом Подробнее о ходе взлома расследования BobDaHacker понял что сервера приложения McDonald s не проверяли есть ли у пользователя достаточно бонусов чтобы получить подарок Он написал об этом айтишнику компании который сначала сказал что слишком занят а потом все же устранил баг Далее хакер попытался пробраться на внутреннюю платформу McDonald s Feel Good Design Hub для агентств и франчайзи И ему с легкостью удалось это сделать сама компания выслала взломщику пароль электронным письмом после всего пары манипуляций с кодом Помимо доступа к закрытым материалам McDonald s платформа позволяла получить доступ к именам сотрудников и истории их запросов отправить кому угодно якобы официальные уведомления и даже запустить фишинговую кампанию на собственной инфраструктуре компании Ресурсы McDonald s для сотрудников делятся на уровни в зависимости от должностей но оказалось что даже линейный персонал мог получить доступ к порталам для высшего руководства А еще получить их имена и личные адреса электронной почты а также внутренние документы Портал для франчайзи не проверял имеет ли пользователь права администратора а это означает что любой мог поменять код страницы для всех посетителей Что BobDaHacker и сделал результат выше Сервера приложения экспериментальной сети CosMc s не проверяли использует ли клиент купон на первый заказ повторно Также хакеру удалось вставить свой текст в сообщения для ресторана вместо текста заказа После всего увиденного BobDaHacker захотел сообщить о проблемах отделу кибербезопасности McDonald s но не нашел контактов они были удалены Хакеру пришлось звонить в головной офис компании и требовать сотрудников отдела поименно К счастью в итоге McDonald s починил большую часть уязвимостей Но в процессе уволили друга хакера который помогал тому получить доступ к ресурсам для высшего руководства Из соображений безопасности Поучительный урок как не надо Свободная касса