🧠 Principais destaques:
- Um hacker ético descobriu falhas graves no aplicativo e nos sistemas internos do McDonald’s.
- Entre os problemas, estava a possibilidade de fazer pedidos sem pagar e acessar áreas restritas da empresa.
- Para chamar atenção, ele chegou a postar uma imagem do Shrek em uma plataforma interna da rede.
Quando um bug vira um “lanche grátis”
O McDonald’s, uma das maiores redes de fast-food do mundo, foi surpreendido por uma série de falhas em seus sistemas digitais.
Quem descobriu tudo foi um hacker conhecido como BobDaHacker, que se apresenta como “white hat” ou seja, alguém que encontra vulnerabilidades para alertar empresas, e não para explorá-las de forma criminosa.
A primeira falha estava no aplicativo oficial da rede. Segundo o pesquisador, era possível fazer pedidos sem pagar, usando pontos de fidelidade que, na prática, nem existiam.
O bug permitia que o sistema aceitasse pagamentos falsos, como se fossem válidos.O problema foi reportado, mas a comunicação com a empresa não foi nada simples.
Não havia um canal oficial para denúncias de segurança, e até mesmo ao falar com um engenheiro da companhia, a solução demorou dias para ser aplicada.
Invasão ao “coração” do McDonald’s
Depois desse episódio, BobDaHacker decidiu investigar mais a fundo. E o que ele encontrou foi ainda mais preocupante.
Ele conseguiu acessar o Feel-Good Design Hub, um portal interno usado por funcionários e agências de publicidade em mais de 120 países.
Esse espaço serve para compartilhar materiais de marketing e campanhas globais da marca. O acesso, segundo ele, foi “trivial”.
Mesmo após a correção inicial, três meses depois, o hacker conseguiu entrar novamente, criando uma nova conta sem restrições.
Dentro do sistema, havia ainda chaves de acesso a serviços externos, como MagicBell e Algolia. Com elas, seria possível manipular listas de usuários, enviar notificações em nome do McDonald’s e até acessar dados pessoais de clientes.
Funcionários com acesso além do permitido
Outro ponto crítico revelado foi a falta de segmentação nos acessos internos.
Em termos simples: funcionários de níveis mais baixos conseguiam entrar em áreas reservadas para gerentes e até executivos.
O que poderia expor documentos internos, informações estratégicas e até dados sensíveis de colaboradores. Para uma empresa do porte do McDonald’s, esse tipo de falha representa um risco enorme.
O hacker também destacou que a rede ainda não possui um arquivo security.txt, um padrão da indústria que facilita a comunicação entre pesquisadores de segurança e empresas.
Sem isso, reportar falhas continua sendo um processo lento e confuso. E foi justamente para chamar atenção que BobDaHacker decidiu deixar sua marca: ele postou uma imagem do Shrek em uma das plataformas internas do McDonald’s.
Um gesto inusitado, mas que serviu como alerta para a gravidade da situação.
