«Белый хакер» рассказал, как обнаружил уязвимости в сервисах McDonald's — от «бесплатного» заказа еды в приложении до доступа к конфиденциальным документам

По его словам, «самым сложным» оказалось связаться с компанией и сообщить о найденных проблемах с безопасностью.

«Белый хакер» под ником BobDaHacker рассказал об уязвимостях в мобильном приложении McDonald's и на внутренних платформах компании. Он отметил, что «большую часть» из них исправили лишь спустя несколько месяцев.
Сначала BobDaHacker обнаружил, что в приложении McDonald's можно заказывать «бесплатную» еду — баг позволял списывать в качестве оплаты несуществующие бонусы. Хакер попытался сообщить о проблеме, но не обнаружил у компании форму обратной связи.
Ему удалось связаться с одним из инженеров-разработчиков. Тот ответил, что «слишком занят», и отреагировал, только когда узнал, что отчёт касается получения «бесплатной» еды — баг исправили спустя несколько дней.
Также BobDaHacker получил доступ к платформе Design Hub, где размещены конфиденциальные маркетинговые материалы. На устранение этой уязвимости у McDonald's ушло около трёх месяцев.
Кроме того, хакер обнаружил, что рядовые сотрудники компании могли получить доступ к системам для руководства с внутренними документами и данными других работников McDonald's «по всему миру».
Пытаясь привлечь внимание к уязвимостям, BobDaHacker выложил на одной из внутренних платформ McDonald's изображение со Шреком и звонил в штаб-квартиру компании, прося соединить с сотрудниками службы безопасности — до тех пор, пока с ним не связался кто-то из «достаточно важных» работников.

В июле 2025 года «белые хакеры» обнаружили уязвимость в сервисе McDonald's c личными данными сотрудников и соискателей — они зашли в «админку» по паролю «123456».

#редакция #mcdonalds