Courtesy of InterestingEngineering

Celakanya Keamanan McDonald’s: Dari Nugget Gratis Hingga Data Pelamar Bocor

Mengungkap kelemahan keamanan serius pada sistem McDonald’s yang berpotensi dieksploitasi untuk keuntungan jahat dan menekankan pentingnya perusahaan memiliki saluran pelaporan keamanan yang efektif agar masalah dapat diatasi lebih cepat.

21 Agt 2025, 01.32 WIB

129 dibaca

Ikhtisar 15 Detik

McDonald's menghadapi masalah serius dalam keamanan sistem internal mereka.
Proses pelaporan kerentanan ke perusahaan besar bisa sangat rumit dan tidak efisien.
Meskipun beberapa kerentanan sudah diperbaiki, masih ada celah yang tersisa yang dapat dieksploitasi.

Tidak spesifik disebutkan, kemungkinan global, tidak dapat dipastikan, United States - Seorang hacker putih bernama BobDaHacker menemukan kelemahan kritis di berbagai sistem McDonald’s. Ia memanfaatkan celah di aplikasi pengantaran yang hanya melakukan pemeriksaan di sisi klien untuk memesan makanan gratis. Proses pelaporan kerentanan ini pun sulit karena McDonald’s tidak memiliki saluran pelaporan keamanan yang jelas.

Selain aplikasi pengantaran, Bob menemukan bahwa platform pemasaran McDonald’s, Feel-Good Design Hub, memiliki sistem keamanan yang sangat lemah. Password dikirim secara teks biasa dan API key mudah diakses di browser, yang membuat akses tidak sah sangat mudah dilakukan oleh peretas.

Di sisi lain, portal internal McDonald’s juga rentan. Kesalahan pengaturan OAuth membuat karyawan biasa dapat mengakses data dan dokumen rahasia yang seharusnya hanya bisa diakses oleh eksekutif. Data pribadi karyawan, termasuk alamat email, juga mudah dilihat tanpa batasan.

Bob juga mengungkap bahwa McDonald’s menghapus file security.txt yang berisi informasi kontak pelaporan keamanan, sehingga peneliti lain kesulitan untuk melaporkan masalah keamanan di masa depan. Telepon ke kantor pusat pun jadi cara terakhir yang harus ditempuh untuk berkomunikasi langsung.

Terakhir, bot perekrutan AI McDonald’s dilindungi oleh password yang sangat lemah yaitu '123456', membuka potensi kebocoran informasi dari 64 juta pelamar kerja. Hal ini menunjukkan bahwa McDonald’s belum memberikan perhatian serius pada aspek keamanan teknologi informasi.

Referensi:
[1] https://interestingengineering.com/culture/mcdonalds-portals-exposed-hacker-free-food-leaks

Analisis Kami

"Kasus ini menunjukkan bahwa perusahaan sebesar McDonald’s masih mengabaikan praktik keamanan penting, seperti validasi server-side dan pengelolaan hak akses yang tepat. Tanpa perubahan budaya dan investasi serius di bidang keamanan siber, mereka akan terus menjadi target empuk bagi pelaku kejahatan siber."

Analisis Ahli

Bruce Schneier

"Perusahaan besar harus menganggap keamanan sebagai pondasi utama, bukan sekadar pelengkap. Celah seperti ini mudah dimanfaatkan dan menunjukkan kurangnya perhatian terhadap proses keamanan yang terstruktur."

Kevin Mitnick

"Penggunaan password lemah dan tidak adanya kanal pelaporan keamanan menciptakan risiko bencana yang nyata. Perusahaan harus memberdayakan peneliti keamanan dengan saluran pelaporan yang jelas dan respon cepat."

Prediksi Kami

Jika McDonald’s tidak segera memperbaiki sistem pelaporan dan meningkatkan keamanan secara menyeluruh, kerentanan yang ada bisa dimanfaatkan oleh peretas jahat untuk pencurian data massal, penipuan, dan kerugian reputasi yang lebih besar di masa depan.