Lanțul de fast-food McDonald’s trece printr-un scandal digital neașteptat, după ce o hackeriță white-hat cunoscută sub pseudonimul Bobdahacker a dezvăluit o serie de vulnerabilități critice în portalurile destinate angajaților și partenerilor companiei. Breșele descoperite au permis acces neautorizat la date sensibile, posibilitatea de a comanda gratuit produse online și chiar expunerea unor documente interne confidențiale.
Cazul atrage atenția nu doar pentru amploarea problemelor descoperite, ci și pentru reacția companiei, care, în loc să colaboreze eficient cu cercetătorul, a ajuns să concedieze un angajat ce i-a oferit sprijin hackeriței în procesul de testare. Situația ridică semne serioase de întrebare cu privire la modul în care o corporație globală gestionează securitatea digitală într-o eră marcată de atacuri cibernetice tot mai sofisticate.
Cum a descoperit hackerul breșele din sistemele Mcdonald’s
Totul a pornit de la o simplă observație: aplicația de livrări McDonald’s rula verificări doar pe partea de client atunci când se analizau punctele de credit ale unui cont. Cu alte cuvinte, oricine putea să manipuleze aceste verificări și să obțină mâncare gratuită la comandă, fără ca serverele companiei să detecteze frauda.
Intrigată, Bobdahacker a continuat investigația și a descoperit vulnerabilități mult mai grave. În platforma Feel-Good Design Hub, unde McDonald’s și agențiile de publicitate din peste 120 de țări își păstrau materialele de marketing, securitatea era aproape inexistentă. Cu o simplă modificare de URL, din „login” în „register”, oricine își putea crea un cont, iar sistemul trimitea parola de acces în text clar prin e-mail.
Mai mult, analiza codului JavaScript a scos la iveală cheile API și datele secrete folosite pentru autentificare, ceea ce deschidea calea unor atacuri mult mai complexe. Hackerul a descoperit și că serviciul de căutare Algolia, utilizat de companie, expunea numele și adresele de e-mail ale celor care solicitau acces pe site.
Problemele nu se opreau aici. Datorită unei implementări defectuoase a sistemului OAuth, simplii membri ai echipelor de lucru puteau accesa portalurile destinate executivilor, având acces la documente interne și la datele de contact ale tuturor angajaților, inclusiv ale CEO-ului.
Reacția Mcdonald’s și implicațiile pentru securitatea companiei
În loc să răspundă rapid și să colaboreze eficient cu cercetătorul, compania a întârziat luni de zile rezolvarea unor probleme evidente. În unele cazuri, vulnerabilitățile au fost „rezolvate” doar parțial, fără a elimina complet riscurile.
Și mai controversată a fost decizia McDonald’s de a concedia un angajat care a ajutat hackerița să verifice unele dintre probleme. Bobdahacker nu știe cum a fost identificată persoana respectivă, dar consideră că acest gest arată lipsa de transparență și dorință de a proteja reputația companiei în detrimentul securității reale.
Îngrijorător este și faptul că McDonald’s nu are un fișier security.txt, un standard folosit la nivel internațional pentru ca cercetătorii să poată raporta vulnerabilitățile în mod sigur și responsabil. Lipsa acestui mecanism a îngreunat comunicarea și a făcut ca o parte dintre probleme să fie ignorate până când hackerul a atras atenția public.
Situația McDonald’s nu este singulară. Bobdahacker a mai identificat breșe și în infrastructura digitală a restaurantului Casa Bonita, cumpărat de creatorii South Park, unde datele membrilor unui club exclusiv erau expuse fără nicio formă de autentificare. Aceste cazuri arată cât de fragilă poate fi securitatea chiar și în companii cu resurse importante.
Consecințele asupra clienților și reputației brandului
Deși McDonald’s susține că a rezolvat o parte dintre vulnerabilități, realitatea este că breșele identificate au expus nu doar materiale de marketing, ci și date ale angajaților și potențial ale clienților. În contextul în care lanțul gestionează milioane de comenzi și informații zilnic, un astfel de nivel de neglijență ridică serioase probleme de încredere.
Incidentul amintește și de un alt episod recent, în care chatbotul folosit de companie pentru recrutări, numit Olivia, putea fi accesat cu o parolă banală – „123456” – ceea ce a dus la compromiterea datelor a peste 60 de milioane de candidați. Aceste situații repetate arată că problemele de securitate nu sunt accidente izolate, ci simptome ale unor deficiențe sistemice.
Pentru clienți, riscul principal este ca aceste breșe să fie exploatate pentru campanii de phishing, prin care atacatorii să trimită e-mailuri false folosind adrese corporate reale. În lipsa unor măsuri ferme și a unei culturi organizaționale axate pe securitate, astfel de atacuri ar putea avea un impact major, de la furt de date personale până la fraude financiare.
Cazul McDonald’s scoate la lumină o realitate incomodă: chiar și giganții globali pot fi vulnerabili atunci când tratează superficial securitatea IT. Deși compania a început să repare din probleme, modul în care a gestionat situația ridică multe semne de întrebare. Pentru o corporație de asemenea dimensiuni, protejarea datelor angajaților și clienților ar trebui să fie o prioritate absolută, nu un aspect tratat cu întârziere și improvizații.