การสืบสวนระบบดิจิทัลของ McDonald's โดยนักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในหลายแพลตฟอร์ม แต่วิธีการที่ใช้กลับกลายเป็นประเด็นถกเถียงเกี่ยวกับแนวทางปฏิบัติในการเปิดเผยข้อมูลที่เหมาะสมและผลทางกฎหมายที่อาจเกิดขึ้น
นักวิจัยค้นพบช่องโหว่ตั้งแต่การข้ามการตรวจสอบฝั่งไคลเอนต์ในแอปมือถือของ McDonald's ไปจนถึง API keys ที่เปิดเผยและฟังก์ชันผู้ดูแลระบบที่ไม่มีการป้องกัน อย่างไรก็ตาม การอภิprายในชุมชนได้มุ่งเน้นไปที่แนวทางของนักวิจัยและผลกระทบทางกฎหมายที่อาจเกิดขึ้นภายใต้ Computer Fraud and Abuse Act (CFAA)
ช่องโหว่ด้านความปลอดภัยที่พบ:
- การข้ามการตรวจสอบข้อมูลฝั่งไคลเอนต์ในระบบรางวัลของแอปมือถือ McDonald's
- การส่งรหัสผ่านแบบข้อความธรรมดาผ่านอีเมลในระบบ Design Hub
- การเปิดเผย API keys ของ MagicBell ในโค้ด JavaScript
- endpoint การลงทะเบียนที่ไม่มีการป้องกัน ทำให้สามารถเข้าถึงได้โดยไม่ได้รับอนุญาต
- ไม่มีการยืนยันตัวตนในฟังก์ชันผู้ดูแลระบบของแพลตฟอร์ม GRG
- การใช้คูปองได้ไม่จำกัดในแอป CosMc's ผ่านการจัดการ API
วิธีการวิจัยที่น่าสงสัยสร้างสัญญาณเตือนภัย
ชุมชนด้านความปลอดภัยได้แสดงความกังวลเกี่ยวกับกลยุทธ์ของนักวิจัย ซึ่งรวมถึงการใช้เพื่อนที่เป็นพนักงาน McDonald's ในการเข้าถึงระบบภายใน การตัดสินใจนี้ส่งผลให้พนักงานคนดังกล่าวถูกไล่ออกเนื่องจากการละเมิดนโยบายความปลอดภัย นักวิจารณ์โต้แย้งว่านักวิจัยแสดงความไม่เป็นผู้ใหญ่ในแนวทางของตน โดยเฉพาะการทำลายแอปพลิเคชันภายในและการสร้างคำสั่งซื้อทดสอบที่อาจถูกมองว่าเป็นการจัดการระบบ
วิธีการติดต่อสำนักงานใหญ่ของ McDonald's โดยการใช้ชื่อพนักงานสุ่มที่พบใน LinkedIn ของนักวิจัยก็ได้รับการวิจารณ์เช่นกัน แม้ว่าจะเป็นวิธีที่สร้างสรรค์ แต่แนวทางนี้เน้นย้ำถึงความท้าทายที่นักวิจัยเผชิญเมื่อบริษัทขาดช่องทางการเปิดเผยความปลอดภัยที่เหมาะสม
ผลกระทบทางกฎหมายภายใต้ CFAA
สมาชิกชุมชนหลายคนได้เตือนว่าการกระทำของนักวิจัยอาจส่งผลให้ถูกตั้งข้อหาในระดับรัฐบาลกลางภายใต้ Computer Fraud and Abuse Act กฎหมายนี้ทำให้การเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาตเป็นสิ่งผิดกฎหมาย แม้จะมีเจตนาดี การสารภาพต่อสาธารณะของนักวิจัยเกี่ยวกับกิจกรรมเหล่านี้ถูกเปรียบเทียบกับการให้หลักฐานสำหรับการดำเนินคดีตนเอง
ชายคนนี้อาจถูกตั้งข้อหาภายใต้ CFAA ได้อย่างง่ายดาย นี่ไม่ใช่วิธีการทำการวิจัยความปลอดภัย 'white hat'
คดีนี้เน้นย้ำถึงพื้นที่สีเทาระหว่างการวิจัยความปลอดภัยที่เป็นประโยชน์และกิจกรรมที่อาจเป็นอาชญากรรมเมื่อไม่มีช่องทางการเปิดเผยที่เหมาะสม
ปัญหาวัฒนธรรมความปลอดภัยขององค์กร
แม้จะมีการวิจารณ์วิธีการของนักวิจัย แต่ชุมชนยังสังเกตเห็นแนวทางปฏิบัติด้านความปลอดภัยที่แย่ของ McDonald's บริษัทถูกพบว่าส่งรหัสผ่านในรูปแบบข้อความธรรมดาผ่านอีเมล เปิดเผยเอกสารภายในผ่านจุดปลายที่ไม่ปลอดภัย และขาดการตรวจสอบสิทธิ์ที่เหมาะสมในฟังก์ชันผู้ดูแลระบบ ความล้มเหลวด้านความปลอดภัยพื้นฐานเหล่านี้บ่งชี้ถึงปัญหาเชิงระบบที่เกินกว่าช่องโหว่แต่ละจุด
การไล่ออกพนักงานที่ช่วยเหลือการวิจัยยังทำลายชื่อเสียงของ McDonald's ในหมู่นักวิจัยด้านความปลอดภัย สมาชิกชุมชนหลายคนระบุว่าพวกเขาจะไม่พิจารณาช่วยเหลือบริษัทในเรื่องความปลอดภัยอีกต่อไปหลังจากเห็นวิธีที่พวกเขาปฏิบัติต่อคนที่พยายามปรับปรุงระบบของพวกเขา
ลำดับเหตุการณ์:
- การค้นพบครั้งแรก: การเจาะระบบคะแนนรางวัลแอป McDonald's
- 3 เดือน: ระยะเวลาที่ใช้ในการนำระบบบัญชีที่เหมาะสมมาใช้สำหรับ Design Hub
- 2 เดือน: ระยะเวลาที่ไฟล์ security.txt พร้อมใช้งานก่อนที่จะถูกลบออก
- สถานะปัจจุบัน: ช่องโหว่ส่วนใหญ่ได้รับการแก้ไขแล้วตามรายงาน บาง endpoints อาจยังสามารถเข้าถึงได้
 |
|---|
| พอร์ทัลการปลอมแปลง TRT ของ McDonald's : ภาพรวมของช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในโครงสร้างพื้นฐานดิจิทัลของบริษัท |
ความจำเป็นในการมีช่องทางการเปิดเผยที่ดีกว่า
เหตุการณ์นี้เน้นย้ำถึงความสำคัญของการที่บริษัทต้องมีช่องทางการรายงานความปลอดภัยที่ชัดเจนและเข้าถึงได้ McDonald's เคยเผยแพร่ไฟล์ security.txt พร้อมข้อมูลติดต่อแต่ได้ลบออกหลังจากเพียงสองเดือน ทำให้นักวิจัยไม่มีวิธีการอย่างเป็นทางการในการรายงานปัญหา
ความเห็นพ้องต้องกันของชุมชนชี้ให้เห็นว่าแม้เจตนาของนักวิจัยอาจดี แต่การดำเนินการมีข้อบกพร่องและอาจผิดกฎหมาย คดีนี้เป็นเรื่องเตือนใจเกี่ยวกับความเสี่ยงของการทดสอบความปลอดภัยโดยไม่ได้รับอนุญาต แม้ในขณะที่พยายามช่วยปรับปรุงการป้องกันของบริษัท
อ้างอิง: How I Hacked McDonald's (Their Security Contact Was Harder to Find Than Their Secret Sauce Recipe)