A bobdahacker nevű biztonsági kutató egy elképesztő blogbejegyzést osztott meg, amelyben azt mondta: a súlyos biztonsági hibák jelentéséhez nehezebb volt biztonságért felelős szakembert találnia, mint a titkos szószreceptre rábukkannia.

News7.hu

Rögtön azzal kezdi az azóta már frissített bejegyzést, hogy azután kezdték el a hibák nagyrészét javítani, miután egy hideghívást intézett a gyorsétteremlánc főnökségéhez, azzal a szöveggel, hogy ismeri a biztonsági alkalmazottakat. Pedig erről valójában szó sincs.

Egész egyszerűen az történt, hogy a kutató észrevette:

a McDonald’s kiszállítási alkalmazásában csak kliensoldali ellenőrzések futnak, amikor a rendszer a hűségpontjainkat keresi, szerveroldali védelem nincs.

Ez lehetővé tette a hacker számára, hogy ingyen rendeljen ételt – írja szemléjében a HVG.

Amikor jelenteni próbálta a problémát, komoly akadályokkal találta szembe magát: bár talált egy illetékes szoftvermérnököt, tőle azt a választ kapta, hogy túl elfoglalt, hogy foglalkozzon ezzel. Ám amikor felvetette a kutató, hogy így sokan juthatnak ingyenkajához, rögtön nekilátott a hibajavításnak, ami napokkal később meg is történt.

Ám itt nem ért véget a történet: később a kutató a McDonald’s Feel-Good Design Hub rendszerét is górcső alá vette, ami a a márkaeszközök és marketinganyagok központi platformja 120 országban. Itt ugyanaz volt a probléma: kizárólag kliensoldali jelszó védte a rendszert, szerveroldali nem. Ezt a hibát három hónapjába került a cégnek kijavítania, miután a kutató azt jelentette.

Később aztán ezen a felületen bevezettek egy fiókrendszert, ahová az URL-cím egyszerű átírásával simán meg lehetett találni a regisztrációs felületet, amivel lényegében bárki illetéktelen fiókot hozhatott létre, hogy hozzáférhessen a platform adataihoz.

A hacker egyébként egy, a gyorsétteremláncnál dolgozó barátját is megkérte, hogy jelentsen hibákat.

Azonban a bejegyzés szerint a vállalat kínosan lassan reagált az észrevételekre, és csak azután mondták el a hackernek, hogy kit keressen meg velük, miután a biztonsági alkalmazottak LinkedIn-profiljait elküldte nekik. További érdekesség, hogy a hacker barátját nem sokkal később biztonsági aggályokra tekintettel elbocsátották a cégtől.