Спецпроекты

Найден хитрый способ бесплатно заказывать еду в McDonald's через приложение

19971
ПО Безопасность Пользователю Техника
Уязвимость в фирменном приложении McDonald's My McD’s позволяет хакерам оплачивать свои заказы со счетов других пользователей. Многие лишились сотен и тысяч долларов, однако McDonald's уверена в надежности своего приложения и отказывается возвращать деньги пострадавшим.

«Бесплатный» фастфуд

Клиенты сети McDonald's столкнулись с кражей денег с их банковских карт, привязанных к профилю в фирменном приложении My McD’s. Неизвестный или группа неизвестных совершали через их аккаунты заказы, на сотни и даже тысячи долларов. Личности преступников на 30 апреля 2019 г. не установлены.

Проблема с безопасностью приложения My McD’s затронула пока только жителей Канады, пишет издание Business Insider. Выбор следующей жертвы хакеры осуществляют не на основе места их проживания – пользователи, с чьих счетов были списаны деньги могут проживать на расстоянии нескольких сотен километров друг от друга, и в их число попал журналист Патрик О’Рурк (Patrick O’Rourke). С его карты была списана крупная сумма в размере 2000 канадских долларов (96 тыс. руб. по курсу ЦБ на 30 апреля 2019 г.)

С канадца по гамбургеру

По словам Патрика О’Рурка, его аккаунт в My McD’s был использован для совершения более 100 заказов. Все они были совершены в Монреале в период с 12 по 18 апреля 2019 г, преимущественно между 11 и 15 часами дня. Журналист отметил, что краже денег предшествовали сбои в работе приложения – он мог выбрать нужные ему блюда, но не мог оплатить их, ему поступали отказы в проведении транзакции. В определенные дни промежутки между заказами составляли всего несколько минут, на основе чего журналист сделал вывод о том, что его аккаунт был взломан одним человеком, поделившимся затем его личными данными с друзьями или знакомыми.

mc602.jpg
Безопасность фирменного ПО McDonald's попала под сомнение

Проблемы у пользователей My McD’s начались еще как минимум в начале 2019 г., когда 17 января 2019 г. на кражу денег со счета пожаловался канадец Бретт О’Доннелл (Brett O'Donnell). В отличие от Патрика О’Рурка, он лишился существенно меньшей суммы – хакеры совершили заказ на 50 канадских долларов (2,4 тыс. руб.).

В феврале 2019 г. с кражей денег столкнулась и жительница Галифакса Лорен Тейлор (Lauren Taylor). Воспользовавшись ее счетом, привязанным к профилю в My McD’s злоумышленники заказали фастфуд на 484 канадских доллара (23,2 тыс. руб.). Заказ был сделан в Квебеке, за 885 километров от Галифакса.

В период с января по апрель 2019 г. было совершено еще несколько взломов аккаунтов в приложении My McD’s. Жители Канады Патти Дьюк (Patty Duke) и Брайан Коулман (Brian Coleman) лишились 100 и 267 канадских долларов соответственно (4,8 и 12,8 тыс. руб.) и тоже отметили, что заказы были сделаны за несколько сотен километров от места их проживания. Каждый раз преступники заказывали различные блюда.

Реакция McDonald's

Жалобы на проблемы с безопасностью приложения My McD’s стали появляться и в Twitter. В частности, Дуглас Солтис (Douglas Soltys) из Торонто тоже заявил о краже 2000 канадских долларов со своей карты, которая была использована для оплаты заказов по всей Канаде.

mc603.jpg
На My McD’s жалуются в Twitter

Представитель McDonald's Canada Адам Грачник (Adam Grachnik) на запрос Business Insider сообщил, что компания осведомлена о случаях кражи денег со счетов, но не видит проблему непосредственно в приложении. В компании уверены в надежности My McD’s и не предложили пользователям никаких способов решения проблемы.

Также McDonald's Canada отказалась возмещать пострадавшим украденные с их счетов денежные средства. Вместо этого компания посоветовала жертвам обратиться за компенсацией в банк, выпустивший их карту.

Фастфуд и информационные технологии

Проблема с My McD’s в Канаде – не первый для McDonald's в 2019 г. случай проблемы с информационными технологиями. В начале апреля 2019 г. в интернете получил распространение видеоролик, в котором двое жителей Австралии наглядно продемонстрировали, как получить фирменные гамбургеры McDonald's совершенно бесплатно.

Для этого авторы видеоролика, размещенного на YouTube, использовали уязвимость в системе электронных заказов – при помощи терминала, позволяющего совершать и оплачивать заказ без очереди, они заказали 10 гамбургеров по цене $1 за каждый. Далее они открыли окно настройки заказа и отказались от котлет, что позволило им снизить стоимость каждого гамбургера на $1,1, после чего каждый гамбургер система оценила в -$1, и оставалось только заказать еще один полноценный гамбургер с котлетой за $1. Итоговая сумма заказа составила $0.

Ролик набрал более 3,7 млн просмотров на 30 апреля 2019 г. В комментариях к нему жители Германии и США отметили, что в их странах такой способ обмана электронной системы заказа McDonald's не работает. О возможности получения бесплатных гамбургеров в других странах присутствия сети ресторанов быстрого питания, включая Россию, информации нет.



Стратегия месяца

Периферийные вычисления перемещаются в центр внимания

Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»