Хакер вскрыл систему McDonald’s ради бесплатных наггетсов, а обнаружил уязвимости на миллионы долларов

История о том, как хакер -энтузиаст взломал цифровую инфраструктуру McDonald’s ради бесплатных наггетсов, обернулась масштабным расследованием безопасности, вскрывшим десятки уязвимостей в системах корпорации. Пользователь под ником BobDaHacker опубликовал 17 августа 2025 года подробный отчёт, в котором шаг за шагом описал, как тривиальная ошибка в приложении для начисления бонусов позволила ему углубиться в куда более серьёзные проблемы.

Первая брешь оказалась примитивной — мобильное приложение не проверяло количество бонусных баллов на стороне сервера, ограничившись клиентской валидацией. Это означало, что при минимальной модификации трафика можно было получать еду без накопленных очков. После того как исследователь сообщил о баге, проблема, по его предположению, была закрыта, но отсутствие серьёзного внимания со стороны инженеров подтолкнуло его к продолжению анализа.

Дальнейшее изучение вывело его на внутренний портал Feel-Good Design Hub, используемый маркетинговыми подразделениями McDonald’s в 120 странах. Сайт оказался защищён только клиентским паролем — устаревшей практикой, не обеспечивающей реальной защиты. Позднее компания внедрила систему авторизации, но и она имела лазейку: простая подмена «login» на «register» в URL открывала форму регистрации.

После заполнения полей система выдавала пароль в незашифрованном письме, что само по себе является критическим нарушением современных стандартов. На платформе хранились помеченные как конфиденциальные видеоматериалы, доступ к которым мог получить любой, кто прошёл подобную «регистрацию».

В скриптах сайта BobDaHacker обнаружил открытые ключи Magicbell API, позволявшие отправлять поддельные уведомления от имени инфраструктуры McDonald’s. Такая возможность открывала дорогу к фишинговым атакам. Кроме того, оказались доступны индексы поиска Algolia с персональными данными людей, запрашивавших доступ к внутренним системам, включая их имена, адреса электронной почты и историю запросов.

Особое внимание вызвали корпоративные порталы, где учётные записи сотрудников рядового уровня имели доступ к ресурсам, рассчитанным на руководство. Так, сервис TRT позволял искать сведения о любом работнике по ID или имени, раскрывая личные почтовые адреса. В нём же существовала функция «имперсонации», позволяющая извлекать данные от лица других пользователей. А в инструменте GRS для франчайзи BobDaHacker продемонстрировал возможность менять элементы интерфейса без авторизации, что фактически давало полный контроль над административными функциями.

Даже экспериментальный ресторанный проект CosMc’s не был защищён должным образом: промокод для новых пользователей можно было активировать неограниченное количество раз. Более того, исследователь нашёл способ внедрять произвольные данные в заказы, что позволяло вмешиваться в процесс их обработки.

Наибольшие трудности возникли при попытке сообщить о найденных угрозах. Компания когда-то размещала файл security.txt, указывающий контакт для таких случаев, но затем удалила его. В итоге BobDaHacker добивался внимания через звонки в штаб-квартиру и поиск сотрудников в LinkedIn. Лишь после настойчивых попыток его перенаправили к правильному адресату. Хотя большинство дыр позднее закрыли, сам процесс продемонстрировал слабую готовность McDonald’s к диалогу с исследователями. При этом друг BobDaHacker, чью учётную запись он использовал для теста, лишился работы.

Эта история показала, что даже гиганты с многомиллионными бюджетами подвержены критическим промахам: валидация на клиентской стороне, пароли в открытом виде, неаутентифицированные админ-функции. McDonald’s до сих пор не имеет ни bug bounty-программы, ни прозрачного канала связи для ответственного раскрытия. А значит, подобные лазейки могут либо оставаться незакрытыми, либо попасть в руки куда менее добросовестных хакеров.