В системе McDonald’s нашли ошибку для бесплатного заказа еды
. Уязвимость уже устранилиВ системе McDonald’s обнаружили позволявшую заказывать еду бесплатно уязвимость
Исследователь вопросов безопасности, «белый хакер» под ником BobDaHacker заявил, что взломал систему сети быстрого питания McDonald's и сумел не только заказать бесплатные закуски в обмен на баллы через мобильное приложение, но и многократно получить доступ к платформе McDonald's, предназначенной только для сотрудников и франчайзи, пишет издание Tom's Hardware.
По словам хакера, платформа была «защищена» лишь паролем на стороне клиента, пройти этот уровень для знатока не составило труда. Он сообщил об этом разработчикам McDonald's и был удивлен, что потребовалось три месяца, чтобы внедрить полноценную систему учетных записей с разными способами входа для сотрудников McDonald's (с использованием их EID/MCID) и внешних партнеров. Однако и после этого система осталась уязвимой для посторонних посягательств, отметил BobDaHacker.
«Мне нужно было всего лишь изменить «вход» на «регистрацию» в URL-адресе, чтобы создать новую учетную запись для доступа к платформе», — заявил взломщик.
Ранее он же сообщил о другом нарушении безопасности McDonald's. В том случае платформа с доступом к личной информации была защищена паролем «123456». Именно этот пароль, как было доказано неоднократно, пользователи используют чаще всего (россияне не исключение), и вычислить его для опытных взломщиков не составляет труда.
Для взлома аккаунта в популярных почтовых сервисах или соцсетях с помощью подбора паролей злоумышленникам потребуется около трех минут, отметили в сервисе разведки утечек данных и мониторинга даркнета DLBI. Значительную часть этого времени займут паузы после трех неудачных попыток. Если же пользователь использует три или меньше уникальных комбинаций, взлом может занять меньше секунды.
