Исследователь не смог сообщить об уязвимости сайта McDonald's из-за отсутствия формы для связи

Исследователь безопасности под ником BobDaHacker рассказал, что он смог получить доступ к платформе McDonald's, предназначенной только для сотрудников и франчайзи. Он хотел сообщить об уязвимости компании, но не нашёл способа сделать это из-за отсутствия обратной связи.

«McDonald's Feel-Good Design Hub — это центральная платформа для брендовых активов и маркетинговых материалов, используемая командами и агентствами в 120 странах. Раньше она была “защищена” паролем на стороне клиента», — отметил BobDaHacker. Исследователь обнаружил эту проблему, когда пытался использовать бонусы для заказа бесплатных наггетсов. 

«После того, как я сообщил об этом, им потребовалось три месяца на внедрение полноценной системы учётных записей с разными путями входа для сотрудников McDonald's (с использованием их EID/MCID) и внешних партнёров... Однако проблема всё ещё оставалась. Мне нужно было всего лишь изменить “вход” на “регистрацию” в URL-адресе, чтобы создать новую учётную запись для доступа к платформе», — пояснил BobDaHacker.

Затем он выяснил, что простая регистрация новой учётной записи побудила Feel-Good Design Hub отправить пароль, связанный с этой учётной записью, открытым текстом.

В итоге BobDaHacker смог использовать Feel-Good Design Hub для доступа к различным ресурсам, от «строго конфиденциальной и эксклюзивной» маркетинговой информации до сервиса, который можно было использовать для «поиска ЛЮБОГО сотрудника McDonald's по всему миру».

«У McDonald's БЫЛ файл security.txt с контактной информацией. Но они удалили его через два месяца после добавления. Я нашёл его только через Wayback Machine, и к тому времени он уже устарел. Итак, как можно сообщать об уязвимостях безопасности корпорации, у которой нет контакта, отвечающего за