Investigasi seorang peneliti keamanan terhadap sistem digital McDonald's telah mengungkap kelemahan keamanan serius di berbagai platform, namun metode yang digunakan telah memicu perdebatan tentang praktik pengungkapan yang tepat dan potensi konsekuensi hukum.
Peneliti tersebut menemukan kerentanan mulai dari bypass validasi sisi klien di aplikasi mobile McDonald's hingga kunci API yang terekspos dan fungsi admin yang tidak terlindungi. Namun, diskusi komunitas sangat berfokus pada pendekatan peneliti dan potensi konsekuensi hukum di bawah Computer Fraud and Abuse Act ( CFAA ).
Kerentanan yang Ditemukan:
- Bypass validasi sisi klien dalam sistem reward aplikasi mobile McDonald's
- Transmisi password dalam bentuk plaintext melalui email di sistem Design Hub
- API keys MagicBell yang terekspos dalam kode JavaScript
- Endpoint registrasi yang tidak terlindungi memungkinkan akses tidak sah
- Tidak ada autentikasi pada fungsi admin di platform GRG
- Penggunaan kupon tanpa batas di aplikasi CosMc's melalui manipulasi API
Metode Penelitian yang Dipertanyakan Menimbulkan Kekhawatiran
Komunitas keamanan telah menyatakan keprihatinan tentang taktik peneliti, yang mencakup penggunaan teman karyawan McDonald's untuk mengakses sistem internal. Keputusan ini pada akhirnya menyebabkan karyawan tersebut dipecat karena pelanggaran kebijakan keamanan. Kritikus berpendapat bahwa peneliti menunjukkan ketidakdewasaan dalam pendekatan mereka, terutama dalam merusak aplikasi internal dan membuat pesanan uji coba yang dapat dilihat sebagai manipulasi sistem.
Metode peneliti dalam menghubungi kantor pusat McDonald's dengan menyebutkan nama karyawan acak yang ditemukan di LinkedIn juga mendapat kritik. Meskipun kreatif, pendekatan ini menyoroti tantangan yang dihadapi peneliti ketika perusahaan tidak memiliki saluran pengungkapan keamanan yang tepat.
Implikasi Hukum di Bawah CFAA
Beberapa anggota komunitas telah memperingatkan bahwa tindakan peneliti dapat mengakibatkan tuduhan federal di bawah Computer Fraud and Abuse Act. Undang-undang tersebut membuat akses ke sistem komputer tanpa otorisasi menjadi ilegal, bahkan dengan niat baik. Pengakuan publik peneliti atas aktivitas ini telah dibandingkan dengan memberikan bukti untuk penuntutan mereka sendiri.
Orang ini bisa dengan mudah didakwa di bawah CFAA . Ini bukan cara melakukan penelitian keamanan 'white hat'.
Kasus ini menyoroti area abu-abu antara penelitian keamanan yang membantu dan aktivitas yang berpotensi kriminal ketika saluran pengungkapan yang tepat tidak ada.
Masalah Budaya Keamanan Perusahaan
Meskipun ada kritik terhadap metode peneliti, komunitas juga mencatat praktik keamanan McDonald's yang buruk. Perusahaan ditemukan mengirim kata sandi dalam teks biasa melalui email, mengekspos dokumen internal melalui endpoint yang tidak aman, dan kurang memiliki otentikasi yang tepat pada fungsi admin. Kegagalan keamanan fundamental ini menunjukkan masalah sistemik di luar kerentanan individual.
Pemecatan karyawan yang membantu penelitian juga telah merusak reputasi McDonald's di antara peneliti keamanan. Banyak anggota komunitas menyatakan mereka tidak akan lagi mempertimbangkan untuk membantu perusahaan dengan masalah keamanan setelah melihat bagaimana mereka memperlakukan seseorang yang mencoba meningkatkan sistem mereka.
Kronologi Peristiwa:
- Penemuan awal: Celah keamanan poin reward aplikasi McDonald's
- 3 bulan: Waktu yang dibutuhkan untuk mengimplementasikan sistem akun yang tepat untuk Design Hub
- 2 bulan: Durasi file security.txt tersedia sebelum dihapus
- Status saat ini: Sebagian besar kerentanan dilaporkan telah diperbaiki, beberapa endpoint mungkin masih dapat diakses
 |
|---|
| Portal Penyamaran TRT McDonald's: Sekilas tentang kerentanan keamanan serius dalam infrastruktur digital perusahaan |
Kebutuhan akan Saluran Pengungkapan yang Lebih Baik
Insiden ini menggarisbawahi pentingnya perusahaan memelihara saluran pelaporan keamanan yang jelas dan dapat diakses. McDonald's sempat menerbitkan file security.txt dengan informasi kontak tetapi menghapusnya setelah hanya dua bulan, meninggalkan peneliti tanpa cara resmi untuk melaporkan masalah.
Konsensus komunitas menunjukkan bahwa meskipun niat peneliti mungkin baik, eksekusinya cacat dan berpotensi ilegal. Kasus ini berfungsi sebagai kisah peringatan tentang risiko pengujian keamanan yang tidak sah, bahkan ketika mencoba membantu meningkatkan pertahanan perusahaan.
Referensi: How I Hacked McDonald's (Their Security Contact Was Harder to Find Than Their Secret Sauce Recipe)