Um pesquisador de segurança revelou várias vulnerabilidades críticas na infraestrutura digital do McDonald’s que expuseram dados confidenciais do cliente e permitiam acesso não autorizado a sistemas corporativos internos.
O pesquisador descobriu essas falhas ao longo de vários meses, exigindo uma abordagem não convencional para relatar os problemas quando os canais de segurança tradicionais se mostraram ineficazes.
A exploração de comida grátis leva a uma investigação mais profunda
O investigação começou quando o pesquisador descobriu que o aplicativo móvel do McDonald’s estava apenas realizando a validação do lado do cliente para pontos de recompensa, permitindo que os usuários potencialmente reivindicassem alimentos gratuitos sem ter pontos suficientes.
Depois de lutar para relatar essa descoberta inicial por meio de canais adequados, o pesquisador continuou investigando a postura de segurança do McDonald’s e descobriu vulnerabilidades significativamente mais graves.
O McDonald’s Feel-Good Design Hub, uma plataforma central que contém ativos de marca e materiais de marketing usados em 120 países, foi inicialmente protegida apenas pela validação de senha do lado do cliente.
Mesmo depois que a empresa implementou um sistema de autenticação adequado após o relatório do pesquisador, restava uma falha crítica que permitisse que qualquer pessoa se registras Url.
O sistema de registro forneceria mensagens de erro úteis indicando quais campos eram necessários, tornando a criação de contas não autorizada direta.
Mais preocupante, a plataforma enviaria senhas de e -mail em texto simples para novos usuários, representando uma falha fundamental da prática de segurança para uma grande corporação em 2025.
O pesquisador descobriu que as chaves e segredos da API do McDonald incorporados diretamente no código JavaScript do Design Hub, que poderia ter permitido que atores maliciosos enviassem notificações de aparência oficial do McDonald para usuários ou conduzissem campanhas sofisticadas de phishing usando a própria infraestrutura da empresa.
Além disso, a configuração de pesquisa do McDonald’s Algolia expôs vários índices contendo informações pessoais de usuários que haviam solicitado acesso a vários sistemas do McDonald’s.
Talvez as contas mais preocupantes da tripulação básica pudessem acessar sistemas de nível executivo através da infraestrutura do portal de funcionários do McDonald’s.
O sistema TRT, destinado apenas ao uso corporativo, permitiu que qualquer membro da tripulação pesquisasse e visualizasse as informações de contato dos funcionários do McDonald’s em todo o mundo, de gerentes de loja a executivos C-Suite.
O sistema até incluiu um recurso de “representação” que forneceu informações detalhadas dos funcionários.
O sistema global de padrões de restaurantes (GRS), projetado para proprietários de franquias, não tinha requisitos de autenticação para funções administrativas.
O pesquisador demonstrou isso modificando temporariamente o conteúdo da página inicial através de desprotegidos Endpoints da APIdestacando o quão facilmente os atores maliciosos poderiam ter manipulado a plataforma.
O pesquisador enfrentou obstáculos significativos ao tentar a divulgação responsável, recorrendo a chamar a sede do McDonald e nomear aleatoriamente funcionários de segurança descobertos do LinkedIn até se conectar com alguém autorizado a receber relatórios de vulnerabilidade.
O McDonald’s havia publicado anteriormente informações de contato de segurança, mas as removeu logo após a implementação, deixando nenhum mecanismo de relatório claro para pesquisadores de segurança.
Desde então, o McDonald’s abordou as vulnerabilidades relatadas, embora o incidente destace os desafios contínuos nas práticas de segurança corporativa e nos processos de divulgação responsáveis para as principais marcas de consumo.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!