根據最近的報導,快餐巨頭 McDonald’s 正面臨著重大的安全問題,這些問題由一位白帽駭客揭露。這名駭客的代號為「BobDaHacker」,她發現了該公司的員工和合作夥伴系統中存在的多個關鍵漏洞。這些漏洞不僅使入侵者能夠免費訂餐,還能獲得營銷平台的管理權限,甚至深入到企業的內部門戶網站。儘管 McDonald’s 已經修復了大部分問題,但該公司仍然缺乏一個有效的安全報告渠道,這使得問題得不到及時解決。
在調查中,Bob 首先注意到了 McDonald’s 的外送應用程式。該應用僅在客戶端進行檢查,以查詢忠誠度積分,完全沒有伺服器端的保護,這使得進行免費訂餐成為可能。Bob 指出,她只是設立了一個賬號,然後便能夠進行外送訂單。報告這些漏洞的過程並不順利,因為 McDonald’s 根本沒有有效的安全.txt 文件。最終,Bob 通過不斷撥打總部電話並隨意提及她在 LinkedIn 上找到的安全員工的名字,才成功聯絡到相關人員。她表示,總部的熱線只要求她說出想要聯繫的人的名字。
在深入調查後,Bob 的注意力轉向了 McDonald’s 的全球營銷資產平台 Feel-Good Design Hub。最初,該平台僅以客戶端密碼進行「保護」。在她報告此問題後,McDonald’s 花了三個月的時間才實施一個合適的帳號系統,但仍然存在漏洞,只需將網址中的「login」改為「register」,便能繞過該系統。此外,該系統還以明文形式發送密碼,並在 JavaScript 中暴露 API 密鑰,這讓攻擊者獲得了更大的權限。
她還發現了 Algolia 搜索數據的泄露,敏感信息如申請訪問的姓名和電子郵件地址均被曝光。對於 McDonald’s 的回應速度,Bob 表示非常失望。當免費食物受到威脅時,公司能迅速修補一些問題,但對於其他問題卻需要數月時間。即使如此,許多修補措施仍然未能徹底解決漏洞,留有回旋餘地。
此外,McDonald’s 的內部門戶網站同樣存在安全隱患。一個錯誤的 OAuth 設置使普通員工能夠訪問高層管理區域及敏感文件。Bob 能夠查閱任何員工的電子郵件地址,甚至從 CEO 開始。她的研究夥伴因「企業的安全擔憂」而失去了工作,但她表示並不知道公司是如何追蹤到這個人的。針對特許經營商使用的全球餐廳標準門戶,該系統缺乏管理授權,任何人都可以隨意編輯材料,甚至在已關閉的咖啡連鎖 CosMc’s 中,優惠券也能隨意重置或重寫。
Bob 表示,雖然 McDonald’s 已經修復了大部分的漏洞,但 Feel-Good Design Hub 的安全性仍然不夠完善。她還發現,該公司在創建安全.txt 文件僅兩個月後便將其刪除。更糟糕的是,最近研究人員透露,McDonald’s 的 AI 招聘機器人 Olivia 只用了一個簡單的密碼「123456」,導致 6,400 萬名求職者的詳細信息遭到洩露。儘管多次披露這些問題,McDonald’s 至今仍未設立永久性的安全聯絡人,這使得研究人員在攻擊者利用漏洞之前,難以報告相關問題。
