Cuộc điều tra của một nhà nghiên cứu bảo mật về các hệ thống số của McDonald's đã tiết lộ những lỗ hổng bảo mật nghiêm trọng trên nhiều nền tảng, nhưng các phương pháp được sử dụng đã gây ra tranh luận về thực hành tiết lộ thích hợp và hậu quả pháp lý tiềm tàng.
Nhà nghiên cứu đã phát hiện các lỗ hổng từ việc bỏ qua xác thực phía client trong ứng dụng di động của McDonald's đến các API key bị lộ và các chức năng admin không được bảo vệ. Tuy nhiên, cuộc thảo luận trong cộng đồng đã tập trung nhiều vào cách tiếp cận của nhà nghiên cứu và những hậu quả pháp lý tiềm tàng theo Đạo luật Gian lận và Lạm dụng Máy tính ( Computer Fraud and Abuse Act - CFAA ).
Các lỗ hổng bảo mật được phát hiện:
- Lỗ hổng bypass xác thực phía client trong hệ thống phần thưởng ứng dụng di động của McDonald's
- Truyền mật khẩu dạng văn bản thô qua email trong hệ thống Design Hub
- Khóa API MagicBell bị lộ trong mã JavaScript
- Endpoint đăng ký không được bảo vệ cho phép truy cập trái phép
- Không có xác thực trên các chức năng quản trị trong nền tảng GRG
- Sử dụng coupon không giới hạn trong ứng dụng CosMc's thông qua thao túng API
Phương Pháp Nghiên Cứu Đáng Ngờ Gây Ra Cảnh Báo
Cộng đồng bảo mật đã bày tỏ lo ngại về các chiến thuật của nhà nghiên cứu, bao gồm việc sử dụng một người bạn là nhân viên McDonald's để truy cập vào các hệ thống nội bộ. Quyết định này cuối cùng đã dẫn đến việc nhân viên đó bị sa thải vì vi phạm chính sách bảo mật. Các nhà phê bình cho rằng nhà nghiên cứu đã thể hiện sự thiếu trưởng thành trong cách tiếp cận của họ, đặc biệt là việc làm hỏng các ứng dụng nội bộ và tạo ra các đơn hàng thử nghiệm có thể được coi là thao túng hệ thống.
Phương pháp liên hệ với trụ sở chính của McDonald's bằng cách đưa ra tên nhân viên ngẫu nhiên tìm thấy trên LinkedIn của nhà nghiên cứu cũng đã bị chỉ trích. Mặc dù sáng tạo, cách tiếp cận này làm nổi bật những thách thức mà các nhà nghiên cứu phải đối mặt khi các công ty thiếu các kênh tiết lộ bảo mật thích hợp.
Tác Động Pháp Lý Theo CFAA
Nhiều thành viên cộng đồng đã cảnh báo rằng các hành động của nhà nghiên cứu có thể dẫn đến các cáo buộc liên bang theo Đạo luật Gian lận và Lạm dụng Máy tính. Luật này quy định việc truy cập vào các hệ thống máy tính mà không có sự cho phép là bất hợp pháp, ngay cả với ý định tốt. Việc nhà nghiên cứu công khai thừa nhận những hoạt động này đã được so sánh với việc cung cấp bằng chứng cho việc truy tố chính họ.
Người này có thể dễ dàng bị truy tố theo CFAA . Đây không phải là cách tiến hành nghiên cứu bảo mật 'white hat'.
Vụ việc này làm nổi bật khu vực xám giữa nghiên cứu bảo mật hữu ích và hoạt động có khả năng phạm tội khi không tồn tại các kênh tiết lộ thích hợp.
Vấn Đề Văn Hóa Bảo Mật Doanh Nghiệp
Mặc dù bị chỉ trích về phương pháp của nhà nghiên cứu, cộng đồng cũng lưu ý đến các thực hành bảo mật kém của McDonald's . Công ty được phát hiện đang gửi mật khẩu dưới dạng văn bản thuần túy qua email, để lộ các tài liệu nội bộ thông qua các endpoint không được bảo mật, và thiếu xác thực thích hợp trên các chức năng admin. Những lỗi bảo mật cơ bản này cho thấy các vấn đề hệ thống vượt ra ngoài các lỗ hổng cá nhân.
Việc sa thải nhân viên đã hỗ trợ nghiên cứu cũng đã làm tổn hại danh tiếng của McDonald's trong số các nhà nghiên cứu bảo mật. Nhiều thành viên cộng đồng tuyên bố họ sẽ không còn xem xét việc giúp đỡ công ty với các vấn đề bảo mật sau khi thấy cách họ đối xử với ai đó đang cố gắng cải thiện hệ thống của họ.
Dòng thời gian các sự kiện:
- Phát hiện ban đầu: Lỗ hổng bỏ qua điểm thưởng ứng dụng McDonald's
- 3 tháng: Thời gian thực hiện hệ thống tài khoản phù hợp cho Design Hub
- 2 tháng: Thời gian tệp security.txt có sẵn trước khi bị gỡ bỏ
- Tình trạng hiện tại: Hầu hết các lỗ hổng được báo cáo đã được khắc phục, một số endpoint có thể vẫn còn truy cập được
 |
|---|
| Cổng Thông Tin Giả Mạo TRT của McDonald's: Cái nhìn thoáng qua về các lỗ hổng bảo mật nghiêm trọng trong cơ sở hạ tầng số của công ty |
Nhu Cầu Về Các Kênh Tiết Lộ Tốt Hơn
Sự cố này nhấn mạnh tầm quan trọng của việc các công ty duy trì các kênh báo cáo bảo mật rõ ràng, dễ tiếp cận. McDonald's đã từng công bố một tệp security.txt với thông tin liên hệ nhưng đã xóa nó chỉ sau hai tháng, khiến các nhà nghiên cứu không có cách chính thức nào để báo cáo vấn đề.
Sự đồng thuận của cộng đồng cho rằng mặc dù ý định của nhà nghiên cứu có thể tốt, nhưng việc thực hiện đã có sai sót và có khả năng bất hợp pháp. Vụ việc này đóng vai trò như một câu chuyện cảnh báo về những rủi ro của việc kiểm tra bảo mật trái phép, ngay cả khi cố gắng giúp cải thiện hệ thống phòng thủ của một công ty.
Tham khảo: How I Hacked McDonald's (Their Security Contact Was Harder to Find Than Their Secret Sauce Recipe)