Vulnerabilidades nos sistemas do McDonald’s

Vulnerabilidades alarmantes nos sistemas do McDonald’s permitem comida grátis, acesso interno e maior exposição a phishing

Uma hacker ética identificada como Bobdahacker revelou múltiplas falhas críticas em plataformas internas do McDonald’s, incluindo sistemas de delivery, sites corporativos e parceiros associados. As brechas permitiam desde solicitar comida de graça até acesso não autorizado a material promocional e e-mails corporativos, ampliando significativamente o risco de ataques de phishing e comprometimento da reputação da marca.

 

Fraude no sistema de delivery: mérito sem verificação do servidor

A falha inicial foi descoberta no aplicativo de delivery da rede. O sistema confiava apenas na checagem do lado do cliente para validar se o usuário tinha pontos de crédito suficientes para descontos. Sem uma verificação robusta no servidor, era possível solicitar refeições gratuitamente com extrema facilidade.

 

Ausência de canal oficial para reporte de falhas

Bobdahacker constatou ainda a ausência de um arquivo security.txt no site do McDonald’s — recurso padrão que indica como pesquisadores podem reportar vulnerabilidades. Ao tentar reportar um dos problemas diretamente a um engenheiro de segurança, foi informada de que ele estava “ocupado demais” para tratar do caso. Somente após mencionar que o bug permitia comida gratuita é que a correção foi realizada.

 

Portal de marketing com falhas graves

No site interno para equipes de marketing (Feel-Good Design Hub), foi detectada uma falha que permitia criar uma conta mesmo sem ser funcionário, trocando “login” por “register” na URL. Além disso, senhas eram enviadas em texto puro por e-mail — um padrão completamente inseguro em 2025.

 

Chaves expostas e dados de usuários à mercê

Os arquivos JavaScript continham chaves de API e secrets visíveis, facilitando a obtenção de dados sensíveis. A funcionalidade de busca interna (via Algolia) também expunha os nomes e e-mails de todos que solicitaram acesso ao site.

 

OAuth vulnerável e documentos executivos expostos

Uma falha na implementação do OAuth permitia que qualquer funcionário acessasse o portal executivo, colocando em risco documentos corporativos estratégicos. Curiosamente, um colega da hacker que auxiliou na investigação foi demitido sob a justificativa de “preocupações de segurança corporativa”.

 

Sites de iniciativas paralelas também estavam comprometidos]

Outros domínios da marca, como o site da cafeteria experimental CosMc’s, deixaram cupons de refeição grátis ativos e facilmente modificáveis, oferecendo mais oportunidades de fraude e exploração de produtos oferecidos pela marca principal.

 

Chatbot de IA com segurança risível

Até mesmo o chatbot de IA chamado Olivia, usado no processo de recrutamento, apresentava falhas graves: o acesso de administrador estava protegido pela senha “12345” — uma das mais previsíveis e inseguras.

 

Security.txt: recomendação ignorada até o momento

Até hoje, o McDonald’s não disponibilizou um security.txt para orientar sobre como pesquisadores devem reportar vulnerabilidades, deixando um importante canal de comunicação com a comunidade de segurança totalmente aberto.

 

Conclusão

As falhas detectadas por Bobdahacker expõem uma alarmante negligência com a segurança digital em diversas frentes do McDonald’s. O fato de que problemas graves permearam desde o aplicativo de delivery até sistemas de marketing, IA de RH e iniciativas experimentais revela fragilidades estruturais que colocam em risco tanto a reputação da marca quanto dados sensíveis. A demora em correções, ausência de um canal de reporte formal e falhas de autenticação demonstram um ambiente tecnicamente vulnerável. A adoção imediata de práticas padrão de segurança — como validação de servidor, criptografia de dados, políticas de senha robustas, monitoramento de APIs e implementação de security.txt — é essencial para restaurar a confiança e proteger o ecossistema digital da empresa.

 

Referência bibliográfica