麦当劳数字基础设施存在一系列严重漏洞,从免费食品兑换漏洞到高管数据泄露事件层出不穷。最初只是一个简单的应用故障,最终演变成持续数月的安全事件。安全研究员BobDaHacker甚至直接致电公司总部,提及在LinkedIn上找到的安全团队成员。直到他采取极端措施后,漏洞才得到修复。
从移动应用到设计中心的多重漏洞
事件始于麦当劳移动应用的一个简单漏洞。研究员发现奖励积分验证仅由客户端处理,用户无需足够积分即可兑换免费鸡块等商品。虽然BobDaHacker尝试报告此漏洞,但软件工程师以”太忙”为由拒绝处理。不过几天后该漏洞还是得到了修复,可能是工程师自行调查的结果。
研究员随后深入调查麦当劳系统,在Design Hub(120个国家团队使用的品牌资产平台)中发现漏洞。该平台仅依靠客户端密码进行保护。公司花费三个月时间实施员工和合作伙伴的正式登录系统,但仍存在重大缺陷:只需将URL中的”login”改为”register”,即可访问开放端点。
API还会提示用户填写缺失字段,使得账户创建异常简单。更令人担忧的是,密码竟以明文形式通过电子邮件发送,这种高风险做法在2025年显得尤为过时。
敏感数据与内部系统暴露
Design Hub中的JavaScript文件暴露出更多问题:泄露的Magicbell API密钥和密钥允许列出用户并通过麦当劳基础设施发送钓鱼通知。这些密钥在报告后被轮换。Algolia搜索索引也可被列出,暴露了姓名、电子邮件和访问请求等个人数据。
员工门户同样脆弱。普通员工账户可访问企业工具TRT,查询全球员工详细信息(包括高管电子邮件),甚至使用”模拟”功能。
全球餐厅标准(GRS)面板缺乏管理员功能认证,任何人都可通过API注入HTML。研究员曾短暂将主页改为”You’ve been Shreked”以演示此漏洞。
持续存在的安全问题
其他问题包括Stravito访问配置错误,使基层员工可查看内部文件;以及实验性餐厅应用CosMc中的漏洞,如无限兑换优惠券和任意订单数据注入。
上月,麦当劳AI招聘系统中的严重安全漏洞因使用”123456″等弱密码,导致6400万求职者的个人数据泄露。
尽管多数漏洞已修复,但注册端点等部分问题可能仍然存在。令人遗憾的是,一名合作者因”安全问题”被解雇。麦当劳至今未建立漏洞赏金计划或可靠的报告机制。
研究员建议:维护最新的security.txt文件,提供直接安全联系人,并启动赏金计划鼓励道德披露。此事件凸显了跨国企业安全松懈的危险性,以及研究人员为保护它们所付出的努力。
参考: freebuf、cybersecuritynews
领取优惠
提交成功!