McDonald’s hakovan: Besplatni nuggetsi i procureli podaci zaposlenih na izvolite!
Ono što je naizgled bio sitan bag u McDonald’s aplikaciji za nagrade, brzo se pretvorilo u ozbiljan sigurnosni problem. Istraživač poznat kao BobDaHacker otkrio je da se validacija poena u aplikaciji vrši samo na korisničkoj strani, što je značilo da su korisnici mogli da zaobiđu sistem i dobiju besplatnu hranu, poput nuggetsa, bez stvarnog sakupljanja poena.
Iako je greška bila ozbiljna, McDonald’s je sporo reagovao. Kada je BobDaHacker prijavio problem, jedan inženjer ga je odbacio tvrdeći da je “prezauzet”. Bag je ispravljen tek nakon nekoliko dana, što otkriva ozbiljne propuste u kompanijskoj bezbednosti.
Design Hub, globalni alat sa kritičnim propustom
Istraživanje nije stalo na tome. Dubljom proverom McDonald’s internih alata, BobDaHacker je otkrio da je Design Hub, platforma koju koriste zaposleni u preko 120 zemalja, lak plen za hakere. Pristup je bio zaštićen samo lozinkom koja se proveravala na klijentskoj strani, što je lako zaobići jednostavnim manipulisanje URL-om.
Još veći problem je što su osetljivi podaci slati putem mejla u nešifrovanom obliku. U eri kada je bezbednost podataka ključna, ovakav zastareli pristup izložio je zaposlene i poslovne tajne ozbiljnom riziku na globalnom nivou.
Nalozi zaposlenih i menadžerski podaci ugroženi
Dalja analiza pokazala je da čak i osnovni nalozi zaposlenih mogu da dobiju pristup alatima namenjenim samo menadžerima. Postojala je i funkcija “impersonacije”, koja je omogućavala preuzimanje identiteta drugih zaposlenih, čime su napadači mogli da pristupe mejlovima i ličnim podacima menadžera i radnika širom sveta.
Ovakvi propusti ugrožavaju ne samo privatnost pojedinaca, već i poverenje u unutrašnje poslovanje McDonald’s-a. Mogućnost zloupotrebe ovakvih privilegija otvara vrata ozbiljnim bezbednosnim rizicima.
AI sistem za zapošljavanje otkrio milione podataka
Kao da to nije bilo dovoljno, McDonald’s AI platforma za zapošljavanje bila je izložena velikom riziku zbog izuzetno slabe lozinke “123456”. Ova propust je omogućio pristup ličnim podacima čak 64 miliona kandidata za posao.
Ovaj incident jasno ukazuje na opasnosti loše bezbednosne prakse, posebno kada se radi o osetljivim informacijama. Za milione koji su želeli da rade u McDonald’s-u, njihovi lični podaci su postali dostupni potencijalnim hakerima ili zlonamernim licima.
Posledice i neizvesna budućnost
Pod pritiskom javnosti, McDonald’s je na kraju otklonio većinu ozbiljnih propusta. Ipak, neki problemi, poput otvorenog registra, navodno i dalje postoje. Spora i netransparentna reakcija kompanije dodatno je pojačala sumnje u njenu spremnost da zaštiti podatke.
Još kontroverznije je to što je jedan član istraživačkog tima otpušten i proglašen “bezbednosnim rizikom”, što šalje upozorenje onima koji ukazuju na propuste. Stručnjaci upozoravaju da bez jasnog programa za prijavu bagova i kanala za bezbednosne prijave McDonald’s ostaje izložen mogućim budućim incidentima.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
