Чудовищная «дыра» в приложении позволяла всем желающим заказывать бесплатную еду в McDonald's

Хакер обнаружила на сайтах McDonald's критические уязвимости, которые позволяют любому желающему заказывать бесплатную еду, делать корпоративные рассылки и администрировать маркетинговые материалы, выпускаемые сетью. Добиться их исправления оказалось крайне непростой задачей.

«Бесплатная» еда в доставке McDonald’s для всех

В корпоративных порталах для сотрудников и партнеров компании McDonald’s выявлен ряд критических уязвимостей. По сообщению The Register, они позволяют любому желающему оформить бесплатный заказ онлайн в одном из ресторанов знаменитой сети, получить права администратора и управлять маркетинговыми материалами компании. Кроме того, одна из этих уязвимостей дает возможность злоумышленнику обзавестись корпоративной почтой McDonald’s.

Неладное «белый» хакер под псевдонимом Bobdahacker заподозрила, обнаружив, что приложение сервиса доставки McDonald’s осуществляет проверку счета пользователя на предмет наличия достаточной суммы для оформления заказа исключительно на стороне клиента. Эта «особенность» позволяет заказать доставку онлайн практически на любую сумму, в действительности не заплатив ни копейки.

Взломщица хотела сообщить о проблеме в компанию, однако стандартного файла “/.well-known/security.txt”, в котором, в частности, указываются контакты специалистов, ответственных за вопросы ИБ на веб-портале ресторана она найти не смогла. В конечном счете Bobdahacker все же удалось выйти на одного из технических специалистов, который, впрочем, заявил, что «слишком занят» для оперативного устранения уязвимости. Уточнение относительно того, что та позволяет бесплатно заказывать еду из ресторанов сети, немного расшевелила команду инженеров. В результате спустя несколько дней проблема была исправлена.

Отсутствие нормального канала обратной связи создавало Bobdahacker сложности и при попытке добиться закрытия других брешей в корпоративных системах McDonald’s. В конечном счете ей удалось найти представителей ИБ-команды сети ресторанов в социальной сети LinkedIn. Именно через них в дальнейшем хакер доносила до компании сведения о выявленных уязвимостях.

Порталы партнеров и сотрудников

Следующим объектом интереса Bobdahacker стал партнерский портал McDonald’s Feel-Good Design Hub, на котором были собраны маркетинговые и рекламные материалы сети, предназначенные для использования как ее персоналом, так и сотрудниками рекламных агентств в 120 странах мира. Как и в случае с сервисом доставки, степень защищенности веб-сайта оказалась не на высоте. Попасть в его закрытую часть, для чего было необходимо ввести имя и пароль пользователя, мог кто угодно, поскольку и здесь проверка правильно ввода учетных данных осуществлялась на стороне клиента.

McDonald’s потребовалось три месяца на то, чтобы реализовать с виду правильно устроенную систему учетных записей пользователя, однако и она на поверку оказалась уязвимой. Bobdahacker выяснила, что если в URL, который соответствует странице аутентификации, заменить слово “login” на “register” и передать серверу учетные данные (адрес электронной почты, имя, фамилия) нового пользователя, то система безропотно создаст для него учетную запись, а пароль от нее отправит по указанному адресу электронной почты.

Анализ JavaScript-сценариев, задействованных в Feel-Good Design Hub, показал наличие в их коде ключа и секрета, используемых для доступа к API сервиса для отправки уведомлений MagicBell. Доступ к этой информации позволял потенциальному злоумышленнику получить список всех пользователей системы, рассылать уведомления (email, push и пр.) от лица McDonald’s любому из них.

Также в ходе изучения JavaScript-кода портала хакер обнаружила данные конфигурации платформы Algolia, работающей по модели «поиск как услуга», что впоследствии дало ей возможность получить доступ к персональным данным всех пользователей, запрашивавших доступ к сайту Feel-Good Design Hub.

McDonald’s – в первую очередь франчайзинговая компания, то есть предоставляет другим лицам (франчайзи) право на ведение бизнеса под своим брендом с соблюдением ряда условий. У нее имеется портал для франчайзи – Global Restaurant Standards. Как выяснила Bobdahacker, любой желающий до недавнего времени имел возможность изменять его содержимое по своему усмотрению – для этого достаточно было отправить необходимый HTML-код через незащищенный API.

McDonald’s также располагает корпоративными порталами для сотрудников разного ранга. Bobdahacker выяснила, что даже рядовые работники, занимающиеся готовкой и упаковкой еды в ресторанах, могут с помощью своей учетной записи попасть на порталы для руководителей высокого ранга. Данная возможность обусловлена некорректной реализации процедуры авторизации при помощи OAuth.

McDonald’s не дружит с технологиями

По словам Bobdahacker, большую часть выявленных ей уязвимостей McDonald’s на сегодняшний день уже закрыла, но так до сих пор и не удосужилась добавить на свой сайт файл “security.txt”.

Со сложностями в обуздании современных технологий американская фастфуд-сеть сталкивается далеко не в первый раз. Так, в июле 2025 г. исследователи в области безопасности выяснили, что к данным, собранным диалоговым ботом Olivia, который McDonald’s использовала для обработки резюме соискателей, может получить любой желающий. Для этого нужно было войти в учетную запись администратора платформы, которая была защищена паролем “123456”.

В июне 2024 г. McDonald’s прекратила испытание системы заказа на основе искусственного интеллекта. Технология задействовала систему распознавания голоса для обработки заказов, но иногда системе не удавалось распознать голос правильно или верно понять ингредиенты для блюд. Вместо воды ИИ клал кетчуп и масло либо включал в заказ наггетсы на сотни долларов или добавлял бекон в мороженое.

Источник