PR machine
@PR_machine_Nika
Безопасность, Шрек и наггетсы
О пользе контактов для обратной связи
Бодрого понедельника, монстры коммуникаций! Наткнулась на историю, как охота за бесплатными наггетсами помогла белой хакерше обнаружить серьезные уязвимости в сервисах McDonald’s, разместить картинку со Шреком на внутреннем портале фастфуда и привела к увольнению одного из сотрудников Мака. Выводы для PR и для кибербеза воспоследуют.
Некая BobDaHacker (ресерчер описывает себя как небинарную персону, так что she/he/they — подходит) нашла баг в приложении Мака, попыталась сообщить об этом фастфуду и попала в зазеркалье.
Она без труда получила полный доступ к внутренней платформе Feel-Good Design Hub с бренд‑материалами, конфиденциальными видео и API‑ключами. А затем, поменяв слово login на register в URL, смогла пройти регистрацию: пароль на почту прилетел в открытом виде.
Как это возможно в 2025 году? — удивляется ресерчер. Да вот фиг знает, уважаемая редакция.
Попытка честно зарепортить баг стала очередным взятием Форта Боярд. Файл security.txt, где обычно указывают контакт для ресерчеров, был удалён. Не растерявшись, хакерша нашла имена сотрудников Мака в LinkedIn и начала звонить в штаб-квартиру, называя их одно за другим, пока кто-то не перезвонил.
Проблемы частично исправили через 3 (!) месяца. Но, как сообщается в блоге:
нормальной аутентификации так и нет
защищённого канала для багов — тоже
security.txt не вернули
друга хакерши, помогавшего с тестами багов, уволили. Вот тебе и Шрек на портале.
Какие выводы? Не важно, насколько вы большие. Если нет простого способа связаться с вами, чтоб сообщить об уязвимости — это уже уязвимость.
Я часто вижу на сайтах во время PR-аудитов схожую ситуацию. Если бы я была журналистом — я бы не знала, куда писать. На общее info@? В форму обратной связи? Всё это утонет в рекламе и спаме, проще не писать.
Совет понедельника, хоть вы и не просили: проверьте, как у вас маршрутизируются входящие. Сделайте путь прозрачным — для тех, кто хочет вам помочь или запросить тот же комментарий. Пусть они не передумают.
#кибербез #кейс
О пользе контактов для обратной связи
Бодрого понедельника, монстры коммуникаций! Наткнулась на историю, как охота за бесплатными наггетсами помогла белой хакерше обнаружить серьезные уязвимости в сервисах McDonald’s, разместить картинку со Шреком на внутреннем портале фастфуда и привела к увольнению одного из сотрудников Мака. Выводы для PR и для кибербеза воспоследуют.
Некая BobDaHacker (ресерчер описывает себя как небинарную персону, так что she/he/they — подходит) нашла баг в приложении Мака, попыталась сообщить об этом фастфуду и попала в зазеркалье.
Она без труда получила полный доступ к внутренней платформе Feel-Good Design Hub с бренд‑материалами, конфиденциальными видео и API‑ключами. А затем, поменяв слово login на register в URL, смогла пройти регистрацию: пароль на почту прилетел в открытом виде.
Учётка давала доступ к именам, адресам электронной почты и номерам телефонов клиентов, а также к информации об их заказах, времени их заказа и суммах расходов, включая размер чаевых.
Как это возможно в 2025 году? — удивляется ресерчер. Да вот фиг знает, уважаемая редакция.
Попытка честно зарепортить баг стала очередным взятием Форта Боярд. Файл security.txt, где обычно указывают контакт для ресерчеров, был удалён. Не растерявшись, хакерша нашла имена сотрудников Мака в LinkedIn и начала звонить в штаб-квартиру, называя их одно за другим, пока кто-то не перезвонил.
Проблемы частично исправили через 3 (!) месяца. Но, как сообщается в блоге:
нормальной аутентификации так и нет
защищённого канала для багов — тоже
security.txt не вернули
друга хакерши, помогавшего с тестами багов, уволили. Вот тебе и Шрек на портале.
Какие выводы? Не важно, насколько вы большие. Если нет простого способа связаться с вами, чтоб сообщить об уязвимости — это уже уязвимость.
Я часто вижу на сайтах во время PR-аудитов схожую ситуацию. Если бы я была журналистом — я бы не знала, куда писать. На общее info@? В форму обратной связи? Всё это утонет в рекламе и спаме, проще не писать.
Совет понедельника, хоть вы и не просили: проверьте, как у вас маршрутизируются входящие. Сделайте путь прозрачным — для тех, кто хочет вам помочь или запросить тот же комментарий. Пусть они не передумают.
#кибербез #кейс
❤ 13
👍 6
💯 3
10 3 924
Обсуждение 10
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram