Het begon met gratis McNuggets en eindigde met wéér een ernstig beveiligingslek bij McDonald’s
Onderzoeker BobDaHacker, die onlangs trouwens ook al een ernstig lek bij de seksspeeltjes van Lovense onthulde, probeerde aanvankelijk wat gratis McNuggets te scoren via de app van McDonald’s. Daar merkte hij echter dat het aantal punten dat je daarvoor nodig had niet langs de serverkant werd gecontroleerd, wat de deur openzet voor misbruik.
BobDaHacker meldde het probleem bij McDonald’s, maar dat contact verliep nogal stroef en dus besloot hij om nog wat verder te graven. Wat hij toen ontdekte, is hallucinant slechte beveiliging voor een miljardenbedrijf als McDonald’s.
Intern platform van McDonald’s zo lek als een zeef
BobDaHacker kwam terecht bij de zogenaamde Feel-Good Design Hub, een platform van McDonald’s met allerlei merk- en marketingmateriaal voor werknemers en reclamebureaus waarmee in 120 landen wordt samengewerkt. Een platform dus voor interne werknemers en externe partners, maar al snel bleek dat eigenlijk iedereen er gewoon toegang tot kon krijgen.
Om te beginnen bleek het platform beschermd te worden met een client-side wachtwoord, wat in de wereld van cyberveiligheid een hoofdzonde is. Dit laat namelijk verregaande manipulatie en misbruik toe. Het is de server die hoort te beslissen over de toegang, niet de client.
Toen McDonald’s door BobDaHacker op de hoogte was gebracht van deze nalatigheid duurde het blijkbaar drie maanden alvorens het probleem aangepakt werd. McDonald’s voegde een op het eerste zicht degelijk loginsysteem toe, waarbij de authenticiteit van de gebruiker (een werknemer of partner van McDonald’s) correct geverifieerd kon worden en onbevoegden geen toegang kregen, maar vervolgens bleek dat in de url “login” vervangen kon worden door “register” om zonder problemen een account voor het platform aan te maken waarmee vervolgens gewoon ingelogd kon worden.
De nieuwe loginbeveiliging kon dus opnieuw makkelijk omzeild worden. Bovendien werd het wachtwoord in plain text via mail verstuurd, opnieuw een zonde als het op cyberveiligheid aankomt.
Vriend ontslagen
De Feel-Good Design Hub bleek qua beveiliging dus zo lek als een zeef en eens binnen werd het er niet beter op. BobDaHacker kon allerlei zaken aanpassen die je als gewone werknemer eigenlijk niet zou mogen kunnen aanpassen. Bovendien kon via een zoekfunctie ook informatie verkregen worden over werknemers van McDonald’s wereldwijd. Aangezien het platform in principe toegankelijk was voor onbevoegden is dit een ernstig probleem, maar zelfs los daarvan is het de vraag of je als gewone werknemer wel toegang moet hebben tot gegevens van andere werknemers.
Opnieuw besloot BobDaHacker om zijn bevindingen te delen met McDonald’s, wat opnieuw moeizaam verliep. Om te beginnen was het niet duidelijk wie hij op welke manier moest contacteren. Informatie daarover die eerder nog beschikbaar was, was inmiddels offline gehaald en bovendien bleek de informatie in kwestie al verouderd te zijn. BobDaHacker besloot dan maar om via LinkedIn naar beveiligingspersoneel van McDonald’s te zoeken en via het hoofdkantoor van het bedrijf naar hen te vragen tot hij uiteindelijk bij iemand terecht kwam die wist waarover het ging en kon helpen.
Volgens BobDaHacker heeft McDonald’s de meeste kwetsbaarheden inmiddels opgelost, maar de hele zaak komt met een wrange nasmaak. Zo werd een vriend van hem, die werkzaam was bij McDonald’s en hielp om bepaalde zaken te verifiëren, uit veiligheidsoverwegingen ontslagen. Daarnaast lijkt McDonald’s zijn veiligheidsprotocollen nog steeds niet op orde te hebben, dus hoewel gemelde kwetsbaarheden uiteindelijk wel opgelost worden, lijkt men er geen fundamentele lessen uit te trekken.
Niet de eerste keer
Het is niet de eerste keer dat McDonald’s in het nieuws komt met een beveiligingsrisico waaruit blijkt hoe nonchalant het bedrijf met cyberveiligheid lijkt om te gaan. Vorige maand nog bleek een rekruteringsplatform van McDonald’s, aangestuurd door AI, beveiligd te zijn met het wachtwoord “123456”.
