Güvenlik araştırmacısı BobDaHacker, McDonald's'ın kurumsal tasarım materyallerine erişim sağlayan platformunda ciddi bir güvenlik açığı keşfetti. Bu açık sayesinde, URL'de yapılan basit bir değişiklik ile yeni hesaplar oluşturularak hassas bilgilere erişim mümkün hale geldi.
McDonald's'ın küresel çapta kullandığı "Feel-Good Design Hub" platformu, marka varlıkları ve pazarlama materyallerini barındırıyor. BobDaHacker'ın açıklamalarına göre, başlangıçta bu platformun güvenliği "istemci tarafı parola" ile sağlanıyormuş. Bu açık kapatıldıktan sonra ise URL'deki "login" kelimesini "register" olarak değiştirmek, yeni bir hesap oluşturarak platforma erişimi sağlıyordu.
Güvenlik araştırmacısı, yaşadığı süreci şöyle aktardı: "Platformun eski haline göre üç ay süren bir geliştirmenin ardından bile, tüm yapılması gereken URL'deki tek bir kelimeyi değiştirmekti." Bu durum, şirketin güvenlik önlemlerinin yetersizliğini gözler önüne seriyor.
Daha da endişe verici olanı, yeni bir hesap oluşturulduğunda platformun, oluşturulan hesabın şifresini düz metin olarak göndermesi. Bu tür bir güvenlik zafiyeti, on yıllardır kabul görmeyen bir durum.
BobDaHacker ayrıca, McDonald's'ın daha önce bir güvenlik.txt dosyası bulundurduğunu ancak bunu kaldırdığını belirtti. Güvenlik açığı bildirmek için bir iletişim kanalı bulmakta zorlanan araştırmacı, LinkedIn'den güvenlik departmanında çalışanların isimlerini bulup McDonald's merkezini arayarak nihayet doğru bir raporlama kanalı bulabildiğini söyledi.
McDonald's'ın bu açıkları giderdiği belirtilse de, güvenlik raporlama kanallarının düzgün bir şekilde oluşturulmaması ve açıkları araştırırken yardım eden bir çalışanın işten çıkarılması gibi durumlar, şirketin güvenlik konusundaki yaklaşımını sorgulatıyor.
Bu olay, daha önce McDonald's ile ilgili ortaya çıkan ve platformun "123456" gibi zayıf bir şifreyle korunduğu bir güvenlik açığından sadece bir ay sonra yaşandı. "Feel-Good Design Hub" üzerinden "son derece gizli ve özel" pazarlama bilgilerine ve hatta küresel olarak herhangi bir McDonald's çalışanının e-posta adresini arayıp bulmaya yarayan bir hizmete erişilebildiği belirtiliyor.
