Kako je jedan haker probio McDonald’s i otkrio sigurnosne propuste
U digitalnom dobu kada gotovo svi veliki brendovi ovise o svojim tehnološkim sustavima, nije neobično da se i divovi brze hrane poput McDonald’sa suočavaju s ozbiljnim sigurnosnim izazovima. Jedan neovisni stručnjak za kibernetičku sigurnost, poznat pod pseudonimom BobDaHacker, otkrio je značajne ranjivosti u McDonald’sovoj digitalnoj infrastrukturi. Njegov početni cilj bio je jednostavan – iskoristiti propust u sustavu nagradnih bodova za besplatne chicken nuggets – no uskoro je njegov istraživački rad otkrio mnogo veće probleme u sigurnosnim praksama ove multinacionalke.
Prvi propust: lako do besplatnih nagrada
Sve je počelo s izravnim propustom u McDonald’sovoj mobilnoj aplikaciji za bodove. Sustav je provjeravao bodove samo na strani korisničkog uređaja, a ne i na serveru. Takav model omogućio je Bobu manipulaciju s bodovima, čime je mogao besplatno dobiti proizvode bez stvarnog prikupljanja bodova. Ovaj “bag” nije samo tehnički propust, nego i značajan sigurnosni problem koji omogućuje prijevaru.
Bob je pokušao kontaktirati McDonald’s i prijaviti problem, no naišao je na nezainteresiranost i ignoriranje od strane zaposlenika. Iako je propust vjerojatno naknadno zakrpan, to nije zaustavilo njegovu želju za nastavkom detaljne analize.
Fail u Feel-Good Design Hubu – unutarnjem marketinškom portalu
Sljedeća stanica bila je Feel-Good Design Hub, interni portal za suradnju McDonald’sovim marketinškim agencijama širom svijeta. Portal je trebao biti zaštićen, no bio je zaštićen samo klijentskom stranom lozinkom — zastarjelom i nezadovoljavajućom sigurnosnom mjerom.
Nakon tri mjeseca, McDonald’s je uveo pravi sustav prijave, ali i tu se pronašao niz nedostataka. Manipulacijom URL-om Bob je uspio pristupiti obrascu za registraciju na koji je, kroz jednostavan postupak, dobivao lozinke poslane običnim tekstom putem e-pošte. Upravo u 2025. godini taj podatak pokazuje ozbiljnu nesigurnost i nemar.
Na tom portalu nalazili su se i video materijali označeni kao “strogo povjerljivi”, namijenjeni isključivo internoj uporabi. No zbog slabih zaštita, bilo tko je mogao registrirati račun i pregledavati te sadržaje, omogućavajući potencijalno curenje osjetljivih korporativnih informacija.
Odavanja API ključeva i izloženost osobnih podataka
Daljnjom analizom Feel-Good Design Huba, Bob je primijetio da su API ključevi, konkretno Magicbell ključ i tajni kod, bili raspoloživi u JavaScriptu kao običan tekst. To je svima omogućilo lažno predstavljanje i slanje lažnih obavijesti u ime McDonald’sa, potencijalno otvarajući vrata krađi podataka i phishing napadima.
Uz to, javno su bili dostupni Algolia indeksi pretraživanja koji su sadržavali osobne informacije pojedinaca koji su tražili pristup McDonald’sovim internim sustavima, uključujući imena, email adrese i povijest zahtjeva.
Neautorizirani pristup izvršnim portalima
Bob je pomoću prijateljeve radničke prijave uspio ispitati dostupnost korporativnih alata. Portal TRT (trt.mcd.com) omogućavao je pretraživanje podataka o svim zaposlenicima McDonald’sa diljem svijeta, uključujući njihove osobne email adrese.
Čak je postojao “impersonation” alat koji je radnicima na nižim pozicijama dozvoljavao pristup osjetljivim podacima zaposlenika samo na osnovu imena ili funkcijske oznake. Ovo upućuje na ozbiljne propuste u kontroli pristupa i zaštiti podataka unutar organizacije.
Globalni alat GRS (Global Restaurant Standards), namijenjen vlasnicima franšiza, imao je administratorske značajke otključane bez ikakve autentifikacije. Bob je uspio mijenjati početnu stranicu iako je brzo vratio promjene, čime je ukazao na velike mane u sigurnosnom dizajnu.
Propusti u sustavu CosMc’s eksperimentalnog restorana
I najnoviji McDonald’sov eksperimentalni restoran CosMc’s nije izbjegao sigurnosne nedostatke. Kupone za nove članove bilo je moguće koristiti neograničeno jer backend nije provjeravao njihovu valjanost. Također, sustav je dopuštao ubacivanje proizvoljnih podataka u narudžbe, što predstavlja činjenicu da je sigurnost pri upravljanju narudžbama daleko od zadovoljavajuće razine.
Izazovi u prijavljivanju propusta
Iako su pronađene ranjivosti bile ozbiljne, najveći problem za BobDaHacker-a bio je način kako prijaviti sigurnosne propuste. McDonald’s je neko vrijeme imao security.txt datoteku, standardizirani način objave kontakt podataka za prijavu problema, ali ju je ubrzo uklonio. Bez jasno definiranog kanala, Bob je bio primoran nazvati centrale, tražiti zaposlenike na LinkedInu i inzistirati na ozbiljnom pristupu.
Tek nakon mnogo upornosti uspio je stupiti u kontakt s pravom osobom koja je aktivno radila na rješavanju problema.
Zaključak: Porazna slika sigurnosnih praksi velikog brenda
Većina propusta koja je Bob otkrio je kasnije popravljena, no njegova priča razotkrila je velike praznine u sigurnosnoj kulturi jedne od najvećih svjetskih korporacija. Iako je njegov prijatelj koji je sudjelovao u istraživanju zbog propusta izgubio posao, McDonald’s i dalje nema adekvatan bug bounty program ni sigurnosni kanal za etičke hakere.
Prijevare i propusti u ovakvim sustavima ukazuju koliko je digitalna sigurnost danas neophodna i da kompanije moraju ozbiljno shvatiti potrebu za proaktivnim pristupom zaštiti i odgovornom prijavljivanju problema.
Najvažnije spoznaje
- McDonald’s je imao brojne sigurnosne propuste, od nevaljanih bodova u appu do izloženih osjetljivih podataka.
- Nedostatak server-side provjere i autentifikacije otežao je zaštitu od prijevara.
- Interni sustavi poput Feel-Good Design Huba bili su slabo zaštićeni.
- Izloženi API ključevi i nezaštićeni administrativni portali mogli su prouzročiti široke sigurnosne incidente.
- Najveći izazov bilo je prijavljivanje ranjivosti zbog odsutnosti jasnih i dostupnih sigurnosnih kontakata.
- Ova priča pokazuje koliko je važno da velike tvrtke uvedu transparentne, sustavne i sigurnosno odgovorne postupke.
Često postavljana pitanja (FAQ)
1. Koji je bio najvažniji sigurnosni propust u McDonald’sovoj aplikaciji?
Najveći problem bio je što aplikacija nije provjeravala bodove na serveru, već samo na strani korisnika. To je omogućavalo manipulaciju bodovima i dobivanje besplatne hrane bez stvarnog broja bodova.
2. Zašto je Feel-Good Design Hub bio posebno ranjiv?
Portal je bio zaštićen samo klijentskom lozinkom koja se lako zaobilazi, a korisnici su mogli primiti lozinku u običnom tekstu putem e-pošte. Ovo je omogućilo svima da pristupe povjerljivim sadržajima i dokumentima.
3. Kako su ranjivosti utjecale na zaposlenike McDonald’sa?
Putem ranjivosti u internim portalima bilo je moguće pristupiti osobnim podacima zaposlenika, poput e-mail adresa, a čak se mogla zloupotrijebiti i mogućnost impersonacije da bi se izvukle osjetljive informacije.
4. Koji izazovi postoje u prijavi ranjivosti velikim korporacijama?
Glavni izazov je nedostatak jasnih i dostupnih kanala za prijavljivanje problema. U slučaju McDonald’sa, uklanjanje security.txt i nepostojanje bug bounty programa otežavaju etičkim hakerima da transparentno i sigurno prijave propuste.
![Utjecaj društvenih mreža na masovne prosvjede u Srbiji [Analiza i Primjeri]](https://kriminal.info/wp-content/uploads/2025/08/mass-protest-440x523.jpg)
![Utjecaj društvenih mreža na masovne prosvjede u Srbiji [Analiza i Primjeri]](https://kriminal.info/wp-content/uploads/2025/08/mass-protest-320x380.jpg)
Leave a Comment