brève actu
En tentant d’obtenir des nuggets gratuits, un hacker dévoile des failles majeures chez McDonald’s et l’absence d’un canal de signalement sécurisé.
En tentant de récupérer un simple avantage via l’application mobile de McDonald’s, un chercheur en sécurité, connu sous le nom de « BobDaHacker », a découvert des failles profondes dans les systèmes en ligne de l’entreprise. Cette découverte a révélé des faiblesses qui permettent un accès non autorisé à des ressources internes, telles que le « Feel-Good Design Hub », utilisé par les employés et agences à travers plus de 120 pays. Les tentatives de Bob pour signaler ces vulnérabilités ont mis en évidence l’absence d’un canal clair pour la divulgation des failles, un problème critique pour une entreprise de cette envergure.
L’une des failles les plus notables identifiées par Bob était liée à une simple modification dans l’URL. En changeant « login » en « register », il a pu créer de nouveaux comptes avec un accès complet. Pire encore, le système envoyait des mots de passe en texte clair par e-mail, une pratique largement désapprouvée depuis longtemps en raison des risques élevés de vol d’identité et d’abus. Comme le souligne TechRadar, ce type de négligence dans la sécurité pose des questions sérieuses en matière de sécurité des données.
Cette situation n’est pas isolée pour McDonald’s. Un mois avant cette découverte, une autre faille avait été révélée : un système stockant des données privées était protégé par le mot de passe « 123456 ». De telles erreurs de sécurité récurrentes soulèvent des doutes quant à l’application de pare-feux, de suites de sécurité ou même de simples revues internes de routine. Pour une multinationale comme McDonald’s, ces vulnérabilités pourraient mettre en péril non seulement les actifs de marketing, mais aussi les informations sensibles des employés et des clients.
Offrez un café pour soutenir cette veille indépendante.
☕ Je soutiens DCODBien que McDonald’s ait corrigé la plupart des vulnérabilités signalées par Bob, l’entreprise n’a pas encore mis en place un canal de signalement fiable pour les divulgations futures. Sans une telle structure, il y a un risque que des failles graves soient ignorées jusqu’à ce qu’elles soient exploitées, ce qui pourrait avoir des conséquences désastreuses à l’échelle mondiale.
Pour en savoir plus
Pourquoi adopter security.txt pour signaler les failles plus efficacement
Simplifiez la réception de rapports de vulnérabilités avec security.txt, un standard clair qui structure le contact entre chercheurs et équipes cybersécurité.
Les Vulnerability-Disclosure-Program (VDP) se développent en Suisse
Un VDP (Vulnerability Disclosure Program) permet à des tiers de signaler des vulnérabilités à une organisation pour améliorer la sécurité proactive de celle-ci. Exemple avec Gobugfree qui offre aujourd’hui en Suisse un VDP gratuit aux entreprises.
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.
Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕
