一位网名为“BobDaHacker”的安全研究员揭露了自己如何从通过这家快餐巨头的移动应用程序免费获取麦乐鸡,升级到反复访问一个本应仅限员工和特许经营商使用的麦当劳内部平台的过程。“想访问敏感信息吗?”或许会成为新的“需要加份薯条吗?”。
“麦当劳的‘Feel-Good Design Hub’(愉悦设计中心)是其品牌资产和营销材料的中央平台,被120个国家的团队和机构使用。它过去仅由一个客户端密码‘保护’。没错,是客户端,”BobDaHacker说道。“在我报告此事后,他们花了3个月时间才实施了一个适当的账户系统,为麦当劳员工(使用其EID/MCID)和外部合作伙伴设置了不同的登录路径……但问题依然存在。我只需将网址中的‘login’(登录)改为‘register’(注册)”,就能创建一个可以访问该平台的新账户。
必须承认,安全记者们常常在漏洞被披露后大约五分钟,就急于谴责未能及时处理的组织,尽管我们中很少有人真正需要在一个价值数十亿美元的企业规模上开发和部署软件。这确实有失公允。但是,当麦当劳花了整整一个季度来解决一个问题……结果其修复方案却因网址中一个单词的改变就被绕过时,很难让人相信他们认真对待其“愉悦设计中心”的安全问题。罗纳德(麦当劳叔叔)会失望的。
即便如此,或许还能被原谅,因为大规模开发和部署软件确实困难。意外难免!但随后BobDaHacker进一步指出,仅仅注册一个新账户,就会促使“愉悦设计中心”以明文形式发送与该账户关联的密码,尽管我们整个社会几十年前就已经知道这绝非良策。而这甚至不是BobDaHacker博文中揭示的关于麦当劳安全流程中最尴尬的事情!
“麦当劳曾经有一个包含联系信息的security.txt文件。但他们在添加2个月后将其移除了。我只是通过网页时光机(Wayback Machine)才找到它,而且那时信息已经过时。那么,你该如何向一个没有安全联系渠道的公司报告安全漏洞呢?我 literally(真的)拨打了麦当劳总部的电话,并开始报出我在LinkedIn上找到的随机安全部门员工的名字,”Bob说。(强调非笔者所加)“总部热线只要求你说出你想联系的人的名字。所以我不断打电话,报出随机找到的安全员工名字,直到终于有一位足够重要的人物给我回电,并给了我一个实际可以报告这些问题的地方。”
Bob称,麦当劳似乎修复了他们披露的“大部分漏洞”,但公司也解雇了Bob的朋友,这位朋友曾协助他们调查部分漏洞,并且公司“从未建立适当的安全报告渠道”。(笔者未能在该公司网站上找到security.txt文件,搜索“McDonald's security disclosure”也未返回任何相关结果。)考虑到其他研究人员很可能在Bob做到这一步之前很久就放弃尝试披露漏洞了,这显得相当不明智。被迫在LinkedIn上搜索并反复拨打热线绝非理想方式。
距离笔者报道另一起影响麦当劳的安全失误才过了一个多月。那次事件中,一个能访问私人信息的平台竟用密码“123456”保护。现在我们得知,BobDaHacker能够利用“愉悦设计中心”访问各种资源,从“高度机密和专有”的营销信息,到一项可用于“全球搜索任何麦当劳员工”并查看其电子邮件地址等服务。
