ハッカー、マクドナルドのスタッフおよびパートナーハブに脆弱性を発見

出典：Picture Library（Alamy Stock Photo経由）

マクドナルドで無料のチキンマックナゲットを手に入れようとした倫理的ハッカーが、ファストフード大手のパートナーおよび従業員向けポータルに多数の脆弱性を偶然発見し、機密データが漏洩していることが明らかになりました。

「BobdaHacker」というオンライン名のハッカーは、同社の顧客リワードシステムを使ってポイントを使い食べ物と交換しようとした際、マクドナルドの「Feel-Good Design Hub」にサーバーサイドの脆弱性を発見したと、今週公開されたブログ記事で述べています。この最初の発見がきっかけとなり、世界120カ国以上のパートナーがブランド資産やマーケティング資料のために利用するこのプラットフォームだけでなく、他のパートナーや従業員向けの企業ハブにも複数の問題があることが判明しました。

BobdaHackerによると、これらの脆弱性によりAPIキーなどの機密データが漏洩し、不正なユーザーが従業員権限を昇格させて企業データにアクセスできたり、フランチャイズオーナーのウェブサイトを不正に変更できるなど、さまざまなセキュリティリスクが存在していました。

セキュリティ上の問題を生み出すだけでなく、マクドナルドは倫理的ハッカーや研究者が発見した脆弱性を報告することも困難にしていると、ハッカーは述べています。同社のウェブサイトにはセキュリティ連絡先やバグ報告プログラムがなく、BobdaHackerはLinkedInで見つけたセキュリティ担当者の名前を使ってマクドナルド本社に電話をかけ、ようやく報告先を見つけたといいます。

「本社のホットラインは、つなぎたい相手の名前を言うように求めるだけです」と投稿で書いています。「だから私は何度も電話をかけ、ランダムにセキュリティ担当者の名前を言い続けました。最終的に重要な人物から折り返し連絡があり、実際に問題を報告できる場所を教えてもらいました。」

脆弱性が機密データを漏洩

この一連の出来事は、BobdaHackerがマクドナルドのポイント交換システムが、特定の商品に十分なポイントがあるかどうかを確認する際にクライアントサイドのみで保護され、サーバーサイドの保護がなかったことを発見したことから始まりました。さらに調査を進めると、デザインハブもクライアントサイドのパスワードのみでセキュリティを担保していることがわかりました。

ハッカーはこの問題をファストフード大手に報告し、マクドナルドは3か月後に「マクドナルド従業員（EID/MCIDを使用）と外部パートナー向けに異なるログイン経路を持つ適切なアカウントシステム」を実装することで、ようやく修正したと投稿で述べています。

しかし、修正後もインターネットにエンドポイントが露出する別のセキュリティ脆弱性が残っており、それがさらなる多数の問題の発見につながったとハッカーは述べています。

「やったことはURLの ‘login’ を ‘register’ に変えただけ……[すると]エンドポイントが完全に開放されていました」と投稿に書かれています。さらに「すべての項目を入力せずに登録しようとすると、何が足りないかをそのまま教えてくれました」とも述べています。

このようにして、BobdaHackerはデザインハブに登録ユーザーとしてサインアップすることができ、マクドナルドからはパスワードが平文でメール送信されました。そこから、同社の認定パートナーであるかのようにハブ上の「機密」資料にアクセスできました。

また、デザインハブのJavaScriptに秘密のAPIキーが露出しており、誰でもシステム内の全ユーザーを一覧表示したり、誰にでも公式風のマクドナルド通知を送信したり、「マクドナルドのインフラを使ってフィッシングキャンペーンを実行できる」状態だったと投稿に記されています。

さらにJavaScriptは、Algoliaの検索サービス設定を通じてデータ漏洩も引き起こしており、すべての検索インデックスが一覧可能で、「さまざまなマクドナルドシステムへのアクセスを申請したユーザーの個人情報を含むものもあった」とBobdaHackerは書いています。

クルーメンバーシステムの脆弱性

BobdaHackerは、マクドナルドで働く友人にも協力してもらい、複数のクルーメンバー（従業員）がシステムにアクセスできるクロスプラットフォーム認証のOAuth標準に関連する他の脆弱性も発見しました。実際、多くの組織がOAuthの実装で脆弱性を生じさせており、オンラインプラットフォームに問題を引き起こしています。

権限が限定されているにもかかわらず、クルーメンバーが企業アカウントにアクセスし、世界中の従業員を検索したり、マクドナルド幹部のメールアドレス（個人メールを含む）を閲覧したり、店舗マネージャーから幹部まで全員を調べることができることが判明しました。

BobdaHackerはまた、マクドナルドの「Global Restaurant Standards」というフランチャイズオーナー向けツールに認証の脆弱性を発見しました。クルーメンバーが管理者機能に認証なしでアクセスでき、APIエンドポイントにクッキーなしで好きなHTMLを使ってページ内容を更新できる状態だったとハッカーは述べています。

さらに、Stravitoナレッジマネジメントプラットフォームの設定ミスにより、従業員が社内の企業文書を閲覧できるという別の脆弱性も存在していました。

ビッグマックのセキュリティにおける継続的な課題

BobdaHackerの発見は、マクドナルドの企業セキュリティの弱点を指摘する最新の調査です。先月も、セキュリティ研究者のIan Carroll氏とSam Curry氏が、マクドナルドの採用プラットフォーム「McHire」、特にParadox.ai社が開発したAIチャットボット「Olivia」に重大な脆弱性を発見したことを詳述しています。

最終的に、BobdaHackerは発見したすべての脆弱性をビッグマックの提供元に報告し、彼らの知る限りではすでに修正されています。実際、デザインハブのホームページには「現在、より保護されています」というメッセージが表示されています。

しかし、同社で働いていた友人は「企業からのセキュリティ上の懸念」により解雇され、マクドナルドは依然として適切なセキュリティ報告窓口を設けていないとハッカーは記しています。同社は水曜日にDark Readingからのコメント要請にも即座に応じませんでした。

特にこの点について、他の企業も倫理的ハッカーや研究者がセキュリティ脆弱性を報告しやすいようにする措置を講じるべきだとハッカーは述べています。

BobdaHackerは、マクドナルドや他の組織に対し、セキュリティ報告に関するいくつかのアドバイスを提供しています。たとえば、組織のsecurity.txtファイルを最新に保つこと、報告を容易にするために実際のセキュリティ連絡先を公開すること、そしてバグ報奨金プログラムの導入を検討し、脆弱性報告の「明確な経路」を設けることなどです。