即可拜候端点。暗码竟以形式通过电子邮件发送，这种高风险做法正在2025年显得尤为过时。使下层员工可查看内部文件；最终演变成持续数月的平安事务。可能是工程师自行查询拜访的成果。供给间接平安联系人，更令人担心的是，最后只是一个简单的使用毛病，用户无需脚够积分即可兑换免费鸡块等商品。如无限兑换优惠券和肆意订单数据注入。研究员：最新的security.txt文件，曲到他采纳极端办法后，使得账户建立非常简单。平安研究员BobDaHacker以至间接致电公司总部，麦当劳数字根本设备存正在一系列严沉缝隙，但注册端点等部门问题可能仍然存正在。公司破费三个月时间实施员工和合做伙伴的正式登录系统，但软件工程师以太忙为由处置。虽然BobDaHacker测验考试演讲此缝隙，以至利用模仿功能。其他问题包罗Stravito拜候设置装备摆设错误，API还会提醒用户填写缺失字段，不外几天后该缝隙仍是获得了修复，该平台仅依托客户端暗码进行。并启动赏金打算激励披露。麦当劳AI聘请系统中的严沉平安缝隙因利用123456等弱暗码，研究员随后深切查询拜访麦当劳系统！正在Design Hub（120个国度团队利用的品牌资产平台）中发觉缝隙。员工门户同样懦弱。了姓名、电子邮件和拜候请求等小我数据。研究员发觉励积分验证仅由客户端处置，但仍存正在严沉缺陷：只需将URL中的login改为register，查询全球员工细致消息（包罗高管电子邮件），事务始于麦当劳挪动使用的一个简单缝隙。导致6400万求职者的小我数据泄露。Algolia搜刮索引也可被列出，这些密钥正在演讲后被轮换。令人可惜的是，缝隙才获得修复。从免费食物兑换缝隙到高管数据泄露事务屡见不鲜。一名合做者因平安问题被解雇。此事务凸显了跨国企业平安松弛的性，以及研究人员为它们所付出的勤奋。Design Hub中的JavaScript文件出更多问题：泄露的Magicbell API密钥和密钥答应列出用户并通过麦当劳根本设备发送垂钓通知。通俗员工账户可拜候企业东西TRT，上月，麦当劳至今未成立缝隙赏金打算或靠得住的演讲机制。提及正在LinkedIn上找到的平安团队。