В онлайн-сервисах и внутренних порталах McDonald’s были обнаружены критические уязвимости, позволявшие злоумышленникам бесплатно оформлять заказы и управлять маркетинговыми ресурсами компании. Находкой поделилась исследовательница под псевдонимом Bobdahacker, чьи попытки связаться с инженерами сети оказались не менее сложными, чем сами уязвимости.
Главная проблема скрывалась в приложении доставки: проверка баланса перед оплатой выполнялась на стороне клиента. Это означало, что любой пользователь мог оформить заказ на любую сумму, фактически не оплачивая его. Аналогичные недочёты ждали и в партнёрских ресурсах. Так, в дизайн-портале McDonald’s можно было создавать учётные записи простым изменением параметров в URL, а затем рассылать уведомления от имени компании.
Анализ кода показал и другие тревожные находки — ключи для доступа к внешним сервисам уведомлений, данные конфигурации поисковой платформы и уязвимости в API. Это открывало возможность собирать информацию о пользователях, редактировать корпоративные материалы и даже менять содержимое портала для франчайзи. Более того, некорректная авторизация позволяла рядовым сотрудникам заходить в разделы для управленцев.
После настойчивых обращений Bobdahacker часть проблем была закрыта, однако сам процесс исправления оказался крайне затянутым. Эксперт отметила, что McDonald’s до сих пор не внедрила стандартный файл security.txt, через который исследователи обычно сообщают о найденных дырах. Сложности с ИТ-безопасностью для компании не новы: ранее исследователи находили пароль «123456» у HR-бота, а система заказа с голосовым ИИ нередко путала ингредиенты, добавляя, например, бекон в мороженое.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
Представители Федеральной антимонопольной службы сообщили, что размещение рекламных интеграций на площадках с ограниченным доступом, в том числе в Telegram, противоречит закону о рекламе.
Новые правила игры в рунете усложнят жизнь мошенникам, но есть нюансы.
«Лаборатория Касперского» обновила тренинг Kaspersky Interactive Protection Simulation.
Пользователи почтового сервиса Outlook жалуются на проблемы с доставкой электронных сообщений.
С 7 по 10 апреля 2026 года в Душанбе пройдет масштабная бизнес-миссия российских компаний «Россия-Таджикистан.
В России зафиксирована новая схема интернет-мошенничества: лоумышленники начали массово писать гражданам в мессенджерах, представляясь сотрудниками таможенных органов и требуя оплатить якобы обязательные таможенные платежи за посылки.
Хактивистская группа Department of Peace заявила о взломе систем Министерства внутренней безопасности США и публикации документов, связанных с контрактами ведомства и Иммиграционной и таможенной полиции США.
«Газинформсервис» представил доклад о применении ИИ в стеганоанализе на форуме «ВОЕНТЕХ».
