פרצת האבטחה הזו יכלה לסדר לכם המבורגר כפול פלוס צ'יפס ושתייה – בחינם לגמרי

האקרית חשפה שרשרת של פרצות אבטחה במערכת של רשת המזון המהיר. לדבריה, בחברה אמרו כי הם "עסוקים מדי" בשביל לטפל בבעיה, עד שגילו שהם מחלקים אוכל חינם

{ אבטחה וסייבר }
ניב גילינסקי
21.8.25

תמונה: Dreamstime

אם תשאלו בסקר "מה מותג הפאסט פוד האהוב עליכם", כנראה שמקדונלד'ס תקפוץ מהר מאוד לראש. ה־M הצהובה כבר שנים סוגרת לאנשים פינה עם המבורגר, צ'יפס וקולה בלי יותר מדי מחשבה. אבל מי שכן היה צריך לחשוב – אלה שאחראים על אבטחת המידע של הרשת – כנראה קצת נרדמו ולא בפעם הראשונה.

האקרית כובע לבן בשם Bobdahacker מצאה פרצת אבטחה באפליקציית המשלוחים של מקדונלד'ס. המחדל איפשר להזמין אוכל בחינם, לפתוח לעצמך מייל ארגוני ואפילו לשים יד על חומרי השיווק של החברה. איך זה קרה? האפליקציה בדקה דברים רק בצד של המשתמש, בלי לוודא מול השרת. התוצאה: הזמנות חינם בלי סוף.

"אין לנו זמן" עד שמגלים שמזמינים חינם

בהתחלה, כש-Bobdahacker יצרה קשר עם מקדונלד'ס, היא קיבלה תשובה הזויה: "אנחנו עסוקים מדי עכשיו". רק אחרי שהבהירה שכל אחד יכול להזמין מקדונלד'ס בחינם, החברה הבינה שהיא בבעיה ורצה לסגור את החור.

אבל זה היה רק הנאגטס שלפני המק'מחדל האמיתי: בלי מנגנון דיווח מסודר, ההאקרית המשיכה לגלות עוד ועוד פרצות. היא אפילו נאלצה לחפש את אנשי האבטחה של מקדונלד'ס בלינקדאין כדי להתריע בפניהם, מכיוון שלא הצליחה לקבל מהרשת את המספרים הרלוונטיים.

בשלב הבא היא נכנסה ל-Feel-Good Design Hub, פורטל שיווקי עם חומרים לעובדים ולסוכנויות פרסום ב-120 מדינות. התוצאה: שוב אבטחה ברמה נמוכה. לקח לחברה שלושה חודשים לסגור את הפרצה, וגם אז זה נעשה באופן חלקי בלבד. שינוי קטן בכתובת האתר, מ-login ל-register, הספיק כדי לפתוח חשבון חדש עם הסיסמה שנשלחת במייל כטקסט גלוי.

בבדיקה נוספת גילתה ההאקרית שמפתח API ו-Secret של MagicBell, הכלים שמוודאים מי אתה, היו חשופים בקוד. המשמעות: כל תוקף היה יכול לראות מי מחובר ולעשות בלגן לא קטן.

מנכ"ל, מנהל סניף ועובד זוטר כולם חשופים

אבל זה לא נגמר שם. שירות החיפוש Algolia שבו השתמשה מקדונלד'ס חשף שמות ואימיילים של עובדים. יישום OAuth שגוי איפשר לעובדים זוטרים להיכנס לפורטל ההנהלה ולצפות במסמכים פנימיים. במילים אחרות, כל עובד יכול היה להסתכל על האימייל של המנכ"ל.

גם פורטל Global Restaurant Standards, שמיועד לזכיינים, היה פתוח לשינויים בלי שום הרשאת אדמין. ואפילו המותג CosMc’s, בית קפה שנולד ב-2023 ונסגר פחות משנתיים אחרי, סבל מאותן בעיות אבטחה. קופוני ההטבות שם? כל אחד היה יכול לאפס ולשנות איך שבא לו.

לא רק מקדונלד'ס

מסתבר שמקדונלד'ס לא לבד. Bobdahacker חשפה גם בעיות חמורות ב-Casa Bonita, המסעדה שנרכשה על ידי יוצרי סאות'פארק. פרטי הלקוחות של "מועדון המייסדים" היו פתוחים לכל מי שהכיר את ה־URL: שמות, מיילים, טלפונים, היסטוריית הזמנות ואפילו גובה הטיפ.

אז אולי לא מדובר באוכל גורמה או כזה שיזכה בפרסים, אבל בפעם הבאה שאתם רעבים ולא בא לכם לבזבז, אולי שווה לכם לבדוק איזו רשת סובלת מפרצת אבטחה השבוע ולקבל הביתה המבורגר פלוס צ'יפס ושתייה, בחינם לגמרי. ב-The Register, שפרסמו לראשונה את הסיפור, ציינו כי החברה לא מסרה תגובה עד מועד פרסום הידיעה.

תגיות: , , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא