Les portails de McDonald’s ont divulgué des e-mails, des fichiers d’entreprise et même des coupons. Un pirate informatique a démontré comment des systèmes non sécurisés ont exposé le géant du burger à des exploits répétés.
McDonald’s n’aime vraiment pas ça.
Un hacker white hat a découvert des failles critiques dans les systèmes des employés et des partenaires du géant du burger. Ces vulnérabilités ont permis aux intrus de commander des repas gratuits, d’obtenir des droits d’administrateur sur des plateformes marketing et d’accéder aux portails de l’entreprise.
McDonald’s a résolu la plupart des problèmes, mais l’entreprise manque toujours d’un canal de signalement de sécurité approprié.
Pépites gratuites, identifiants fuyants
Le chercheur, connu sous le nom de « BobDaHacker », a d’abord repéré un problème dans l’application de livraison de McDonald’s. L’application effectuait des vérifications uniquement côté client lors de la recherche de points de fidélité, sans protection côté serveur. Cela permettait de commander des repas gratuitement.
« Vous pouviez simplement créer un compte pour cela et cela fonctionnait, uniquement pour les commandes de livraison », a-t-elle déclaré au Register .
Signaler les failles n’a pas été simple. McDonald’s ne disposait d’aucun fichier security.txt valide. Bob a finalement réussi à joindre le personnel en appelant à plusieurs reprises le siège et en donnant des noms aléatoires d’employés de la sécurité trouvés sur LinkedIn. « La hotline du siège vous demande simplement de donner le nom de la personne avec laquelle vous souhaitez être mis en relation », a-t-elle expliqué.
Elle s’est ensuite intéressée au Feel-Good Design Hub, la plateforme mondiale de McDonald’s dédiée aux ressources marketing. Au départ, elle n’était « protégée » que par un mot de passe côté client.
« Après mon signalement, il leur a fallu trois mois pour mettre en place un système de compte adéquat… Sauf qu’il restait un problème. Il m’a suffi de remplacer “login” par “register” dans l’URL », a expliqué Bob.
Le système a envoyé des mots de passe en texte brut et exposé des clés API en JavaScript, donnant aux attaquants encore plus de marge de manœuvre.
Elle a également découvert des fuites de données de recherche Algolia qui ont révélé les noms et les adresses e-mail des personnes demandant l’accès.
La lenteur de la réaction l’a frustrée. McDonald’s a rapidement corrigé certains problèmes lorsque la nourriture gratuite était menacée, mais a mis des mois à résoudre d’autres problèmes.
Même dans ce cas, les solutions étaient souvent insuffisantes, laissant la place à des solutions de secours faciles.
Les secrets d’entreprise au menu
Les portails internes de McDonald’s se sont révélés tout aussi instables. Une configuration OAuth défectueuse permettait aux membres ordinaires de l’équipe d’accéder aux zones de direction et aux documents sensibles.
Bob a dit qu’elle pouvait rechercher n’importe quel employé, du PDG jusqu’au plus bas niveau, et voir leurs adresses e-mail.
Son partenaire de recherche chez McDonald’s a perdu son emploi en raison de « problèmes de sécurité de la part de l’entreprise », bien que Bob ait déclaré qu’elle ne savait pas comment l’entreprise avait retrouvé la personne.
Le portail Global Restaurant Standards, utilisé par les franchisés, ne disposait pas d’autorisation d’administrateur. Cette faille permettait à n’importe qui de modifier les informations. Chez CosMc’s, la chaîne de cafés aujourd’hui fermée, elle a découvert que les coupons pouvaient être réinitialisés ou réécrits à volonté.
Bob affirme que McDonald’s a corrigé la plupart des failles, mais que le Feel-Good Design Hub reste mal sécurisé. Elle a également découvert que l’entreprise avait supprimé son fichier security.txt deux mois seulement après sa création. « Je ne l’ai retrouvé que grâce à Wayback Machine », a-t-elle expliqué.
Les problèmes ne s’arrêtent pas là. Le mois dernier, des chercheurs ont révélé qu’Olivia, le robot de recrutement de McDonald’s, était protégé par un seul mot de passe : « 123456 ». Les pirates ont accédé aux informations de 64 millions de candidats.
Malgré des révélations répétées, McDonald’s n’a toujours pas de contact permanent en matière de sécurité . Les chercheurs peinent donc à signaler les problèmes avant qu’ils ne soient exploités par des attaquants.
