Skandal u McDonald's: Nuggetsi za džabe i tajni podaci menadžera otkriveni zbog baga
Naizgled bezazlena greška u McDonald's aplikaciji za nagrade pretvorila se u otkriće jedne od najopasnijih rupa u bezbednosti koje je kompanija imala poslednjih godina. Istraživač koji se potpisuje kao BobDaHacker uspeo je da otkrije da se validacija poena odvija samo na korisničkoj strani aplikacije, što je značilo da su korisnici mogli da naručuju besplatne proizvode, poput nuggetsa, bez stvarno zarađenih poena.
Pokušaji da upozori kompaniju naišli su na zid, jedan od inženjera čak je odbacio prijavu jer je bio "prezauzet". Bag je ipak zakrpljen tek nekoliko dana kasnije. Ali to je bio samo početak.
Preporučujemo
Strimer umro pred očima miliona ljudi: Užas uživo na Kick platformi
Šta je moja ćerka rekla ChatGPT-u pre nego što je sebi oduzela život
Kopajući dublje po McDonald's sistemima, istraživač je pronašao ozbiljne propuste na platformi Design Hub, alatu koji koriste timovi u više od 120 zemalja. Sistem je štitila samo lozinka na strani klijenta, što je omogućilo ulazak svakome ko je znao kako da manipuliše URL-ovima. Još gore, podaci su se slali na mejl u čistom tekstu, bez ikakve enkripcije, što je 2025. gotovo nezamisliv bezbednosni propust.
Eksponirani podaci zaposlenih i kandidata
U okviru provere, BobDaHacker je otkrio i otvorene endpoint tačke koje su omogućavale kreiranje novih naloga bez ikakve zaštite. To je otvorilo vrata za pristup poverljivim materijalima namenjenim isključivo internom korišćenju.
Još alarmantnije je bilo otkriće da osnovni nalozi zaposlenih mogu da pristupe alatima namenjenim rukovodiocima, pa čak i da koriste funkciju "impersonacije", kojom je bilo moguće preuzeti identitet drugih zaposlenih i pregledati njihove podatke. Na taj način, mejlovi menadžera i detalji o globalnim zaposlenima postali su dostupni svakome ko zna kako da probije sistem.
McDonald’s se suočio i sa curenjem ogromne baze podataka kandidata za posao. Propust u AI sistemu za zapošljavanje otkrio je čak 64 miliona prijava, sa ličnim podacima kandidata, zbog korišćenja jednostavne lozinke "123456".
Posledice i nerešena pitanja
Većina problema je nakon višemesečne borbe zakrpljena, ali pojedini propusti, poput otvorenog registra, i dalje navodno postoje. Tragičan epilog cele priče je otpuštanje jednog od saradnika istraživača, koji je proglašen "bezbednosnim rizikom".
Stručnjaci ističu da McDonald’s i dalje nema jasno definisan bug bounty program niti sigurnosni kanal za prijavu ranjivosti, što dovodi do rizika da slični problemi ponovo isplivaju na površinu.
(Telegraf.rs/CyberSecurityNews)
Vesti u fokusu
Evo šta su Delije poručile igračima Zvezde posle poraza od Pafosa, navijači imaju samo jedan zahtev
Da li škola počinje od 1. septembra? Među roditeljima kruži čudna informacija, saznali smo šta čeka đake
Viktor i Marijanka živi izgoreli pred ćerkom i unucima nakon nesreće u Grčkoj: "Vrištali su da ih izvučemo"
Nikada ne govorite "Primi moje saučešće", već ovo: Sveštenik objašnjava kako se pravilno prilazi ožalošćenima
Sin Bobana Rajovića i Zorana Mićanović uhvaćeni u zanosu: Fudbaler odlepio za pevačicom, popustile im kočnice?
Video: HONOR 400 je telefon koji nudi nešto što za ovu cenu nećete videti nigde
Telegraf.rs zadržava sva prava nad sadržajem. Za preuzimanje sadržaja pogledajte uputstva na stranici Uslovi korišćenja.
Komentari
Priče sa Weba
SAMIT PUTINA, TRAMPA I ZELENSKOG U SRPSKOM KOMŠILUKU? Oglasili se iz Bele kuće i otkrili detalje trilateralnog sastanka: "PRIPREME SU U TOKU, oba lidera su pokazala spremnost" (FOTO, VIDEO)
OVO JE NEVEROVATNA PONUDA UKRAJINE TRAMPU Evo šta tačno nudi za bezbednosne garancije, procurili dokumenti sa svim detaljima
EVROPSKE ZEMLJE ŠALJU VOJSKU U UKRAJINU! Tramp konačno otkrio odluku koja će šokirati Zelenskog, pa zapretio Putinu: "BUDI DOBAR"
