stihl не предоставил(а) никакой дополнительной информации.
Они позволяли бесплатно заказывать еду, управлять маркетинговыми порталами, рассылать письма от имени компании и получать корпоративную почту.
McDonald’s быстро закрыла брешь с заказами, но на исправление других проблем ушли месяцы. Например, на партнёрском портале достаточно было заменить слово login на register в адресе, чтобы создать новый аккаунт с доступом. Через незащищенный API франчайзингового портала можно было изменять его содержимое.
Даже рядовые сотрудники ресторанов могли попасть в разделы для руководителей из-за некорректной авторизации. Большая часть уязвимостей уже закрыта, однако стандартного файла security.txt для связи с командой безопасности у компании до сих пор нет.
McDonald’s быстро закрыла брешь с заказами, но на исправление других проблем ушли месяцы. Например, на партнёрском портале достаточно было заменить слово login на register в адресе, чтобы создать новый аккаунт с доступом. Через незащищенный API франчайзингового портала можно было изменять его содержимое.
Даже рядовые сотрудники ресторанов могли попасть в разделы для руководителей из-за некорректной авторизации. Большая часть уязвимостей уже закрыта, однако стандартного файла security.txt для связи с командой безопасности у компании до сих пор нет.