“آیا مایلید به اطلاعات حساس دسترسی پیدا کنید؟” شاید جمله جدید “آیا سیب‌زمینی سرخ‌کرده هم می‌خواهید؟” باشد. یک محقق امنیتی به نام “BobDaHacker” به تازگی فاش کرده است که چگونه از گرفتن ناگت رایگان مک‌دونالد از طریق اپلیکیشن موبایل این فست‌فود، به دسترسی مکرر به پلتفرم مک‌دونالد که فقط برای کارمندان و نمایندگان مجاز بود، دست یافته است.

“هاب طراحی Feel-Good مک‌دونالد” پلتفرم مرکزی آن‌ها برای دارایی‌های برند و مواد بازاریابی است – که توسط تیم‌ها و آژانس‌ها در ۱۲۰ کشور استفاده می‌شود. این پلتفرم قبلاً با یک رمز عبور سمت کلاینت ‘محافظت’ می‌شد. بله، سمت کلاینت!” BobDaHacker گفت، مشکلی که او ابتدا هنگام تلاش برای استفاده از یک پاداش برای چند ناگت رایگان متوجه آن شد. “پس از اینکه این موضوع را گزارش کردم، آن‌ها ۳ ماه طول کشید تا یک سیستم حساب کاربری مناسب با مسیرهای ورود مختلف برای کارمندان مک‌دونالد (با استفاده از EID/MCID آن‌ها) و شرکای خارجی پیاده‌سازی کنند… با این حال، هنوز مشکلی وجود داشت. تنها کاری که باید انجام می‌دادم این بود که ‘login’ را به ‘register’ در URL تغییر دهم” تا یک حساب کاربری جدید ایجاد کنم که بتواند به پلتفرم دسترسی پیدا کند.

اکنون، من اولین کسی خواهم بود که اعتراف می‌کنم گزارشگران امنیتی اغلب سریعاً سازمان‌هایی را که در رفع آسیب‌پذیری‌ها تقریباً پنج دقیقه پس از افشای آن‌ها کوتاهی می‌کنند، محکوم می‌کنند، حتی اگر تعداد بسیار کمی از ما تا به حال نیاز به توسعه و استقرار نرم‌افزار در مقیاس یک شرکت چند میلیارد دلاری داشته‌ایم. این به سختی منصفانه است. اما باور اینکه مک‌دونالد امنیت “هاب طراحی Feel-Good” خود را جدی می‌گیرد، دشوار است، وقتی که یک ربع کامل طول می‌کشد تا مشکلی را حل کند… فقط برای اینکه راه‌حل با تغییر یک کلمه در URL دور زده شود. رونالد ناامید می‌شد.

حتی این هم ممکن است قابل توجیه باشد، زیرا باز هم، توسعه و استقرار نرم‌افزار در مقیاس بزرگ دشوار است. اتفاقات می‌افتند! اما سپس BobDaHacker اشاره کرد که صرفاً ثبت یک حساب کاربری جدید باعث شد هاب طراحی Feel-Good رمز عبور مرتبط با آن حساب را به صورت متن ساده ارسال کند، حتی با اینکه ما به عنوان یک جامعه دهه‌هاست که می‌دانیم نباید این کار را کرد. و این حتی شرم‌آورترین نکته در مورد فرآیندهای امنیتی مک‌دونالد که در پست وبلاگ BobDaHacker فاش شد، نبود!

“مک‌دونالد یک فایل security.txt با اطلاعات تماس داشت. اما آن‌ها ۲ ماه پس از اضافه کردن آن، آن را حذف کردند. من آن را فقط از طریق Wayback Machine پیدا کردم، و تا آن زمان منسوخ شده بود. پس، چگونه آسیب‌پذیری‌های امنیتی را به شرکتی که هیچ تماس امنیتی ندارد، گزارش می‌دهید؟ من به معنای واقعی کلمه با دفتر مرکزی مک‌دونالد تماس گرفتم و شروع به گفتن نام‌های تصادفی کارمندان امنیتی که در لینکدین پیدا کرده بودم، کردم،” باب گفت. (تاکید اضافه نشده است.) “خط تلفن دفتر مرکزی فقط از شما می‌خواهد نام شخصی را که می‌خواهید با او ارتباط برقرار کنید، بگویید. بنابراین من به تماس گرفتن ادامه دادم و نام‌های تصادفی کارمندان امنیتی را می‌گفتم تا بالاخره یک نفر به اندازه کافی مهم با من تماس گرفت و یک مکان واقعی برای گزارش این مسائل به من داد.”

باب گفت که مک‌دونالد به نظر می‌رسد “بیشتر آسیب‌پذیری‌ها” را که آن‌ها فاش کرده بودند، برطرف کرده است، اما این شرکت همچنین دوست باب را که به آن‌ها در بررسی برخی از آسیب‌پذیری‌ها کمک کرده بود، اخراج کرد و “هرگز یک کانال گزارش‌دهی امنیتی مناسب ایجاد نکرد.” (من نتوانستم فایل security.txt را در وب‌سایت شرکت پیدا کنم، و جستجو برای “افشای امنیتی مک‌دونالد” نیز هیچ نتیجه مرتبطی برنمی‌گرداند.) این به نظر نامعقول می‌آید، با توجه به اینکه محققان دیگر احتمالاً مدت‌ها قبل از باب از تلاش برای افشای آسیب‌پذیری‌ها دست می‌کشیدند. مجبور بودن به جستجو در لینکدین و تماس مکرر با یک خط تلفن ایده‌آل نیست.

کمی بیش از یک ماه از زمانی که من در مورد یک اشتباه امنیتی متفاوت که مک‌دونالد را تحت تأثیر قرار داده بود، گزارش دادم، می‌گذرد. در آن مورد، پلتفرمی با دسترسی به اطلاعات خصوصی با رمز عبور “123456” ایمن شده بود. اکنون می‌دانیم که BobDaHacker توانست از هاب طراحی Feel-Good برای دسترسی به منابع مختلفی استفاده کند، از اطلاعات بازاریابی “بسیار محرمانه و اختصاصی” گرفته تا سرویسی که می‌توانست برای “جستجوی هر کارمند مک‌دونالد در سراسر جهان” و مشاهده آدرس ایمیل آن‌ها، در میان چیزهای دیگر، استفاده شود.