據外媒 Tom’ s Hardware 報導,一位名為「BobDaHacker」的安全研究員近日分享,他透過麥當勞手機應用程式獲得免費麥克雞塊,並多次登入原只供員工與加盟商使用的麥當勞平台。
這一切起因始於免費雞塊。BobDaHacker 發現,麥當勞的應用程式並沒有在伺服器端檢查用戶是否真有足夠的獎勵積分,只進行客戶端驗證,這促使他不斷地深掘麥當勞的安保措施。
BobDaHacker 指出,麥當勞 Feel-Good Design Hub 是其中央品牌資產與行銷素材平台,提供給全球 120 個國家的團隊與代理商使用,過去受客戶端(CLIENT-SIDE)密碼保護。在他進行安全回報後,麥當勞花三個月才實施真正的帳號系統,將麥當勞員工與外部合作夥伴設置不同的登入路徑,但這還是存在問題。
BobDaHacker 表示,只要把網址中的「login」改成「register」,就能成功建立一個可以存取平台的新帳號,這能讓外部人員存取他們的機密資料。根據麥當勞 Feel-Good Design Hub 的程式碼,可以看到系統中的每個用戶,能向任何人發送類似官方的麥當勞通知,以及透過麥當勞的基礎設施進行網路釣魚活動。
為了回報整個過程,BobDaHacker 不斷尋找麥當勞相關連絡人,但卻遲遲找不到安全部門的聯絡窗口,「我甚至打電話到總部,開始亂說在 LinkedIn 找到的安全員工名字。總部的客服專線只會問你想接通哪個人,所以我不停打電話,亂說名字,最後終於有位重要人士回電,給我一個實際可回報漏洞的地方」。他也幽默表示,「要找麥當勞安全聯絡人比找祕密醬料配方更難」。
BobDaHacker 表示,經過回報後,麥當勞似乎修復大部分的漏洞,但也解僱一位幫助他調查漏洞的朋友。最後他也建議,麥當勞應該將 security.txt 檔案維持在最新狀態,提供有實際作用的安全聯絡人,並建議考慮一個漏洞賞金計畫,以便研究人員有明確的報告方式。
- How I Hacked McDonald’s
- Security researcher driven by free nuggets unearths McDonald’s security flaw — changing ‘login’ to ‘register’ in URL prompted site to issue plain text password for a new account
(首圖來源:Pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
