麦当劳数字基础设施存在一系列严重漏洞,从免费食品兑换漏洞到高管数据泄露事件层出不穷。最初只是一个简单的应用故障,最终演变成持续数月的安全事件。安全研究员 BobDaHacker 甚至直接致电公司总部,提及在 LinkedIn 上找到的安全团队成员。直到他采取极端措施后,漏洞才得到修复。
从移动应用到设计中心的多重漏洞
事件始于麦当劳移动应用的一个简单漏洞。研究员发现奖励积分验证仅由客户端处理,用户无需足够积分即可兑换免费鸡块等商品。虽然 BobDaHacker 尝试报告此漏洞,但软件工程师以"太忙"为由拒绝处理。不过几天后该漏洞还是得到了修复,可能是工程师自行调查的结果。
研究员随后深入调查麦当劳系统,在 Design Hub(120 个国家团队使用的品牌资产平台)中发现漏洞。该平台仅依靠客户端密码进行保护。公司花费三个月时间实施员工和合作伙伴的正式登录系统,但仍存在重大缺陷:只需将 URL 中的"login"改为"register",即可访问开放端点。
API 还会提示用户填写缺失字段,使得账户创建异常简单。更令人担忧的是,密码竟以明文形式通过电子邮件发送,这种高风险做法在 2025 年显得尤为过时。
敏感数据与内部系统暴露
Design Hub 中的 JavaScript 文件暴露出更多问题:泄露的 Magicbell API 密钥和密钥允许列出用户并通过麦当劳基础设施发送钓鱼通知。这些密钥在报告后被轮换。Algolia 搜索索引也可被列出,暴露了姓名、电子邮件和访问请求等个人数据。
员工门户同样脆弱。普通员工账户可访问企业工具 TRT,查询全球员工详细信息(包括高管电子邮件),甚至使用"模拟"功能。
全球餐厅标准(GRS)面板缺乏管理员功能认证,任何人都可通过 API 注入 HTML。研究员曾短暂将主页改为"You've been Shreked"以演示此漏洞。
持续存在的安全问题
其他问题包括 Stravito 访问配置错误,使基层员工可查看内部文件;以及实验性餐厅应用 CosMc 中的漏洞,如无限兑换优惠券和任意订单数据注入。
上月,麦当劳 AI 招聘系统中的严重安全漏洞因使用"123456"等弱密码,导致 6400 万求职者的个人数据泄露。
尽管多数漏洞已修复,但注册端点等部分问题可能仍然存在。令人遗憾的是,一名合作者因"安全问题"被解雇。麦当劳至今未建立漏洞赏金计划或可靠的报告机制。
研究员建议:维护最新的 security.txt 文件,提供直接安全联系人,并启动赏金计划鼓励道德披露。此事件凸显了跨国企业安全松懈的危险性,以及研究人员为保护它们所付出的努力。
参考来源:
MCDonald’s Free Nuggets Hack Leads to Expose of Confidential Data
