博士

ロボ子、大変なのじゃ！マクドナルドのアプリやシステムに、セキュリティの脆弱性がたくさん見つかったらしいぞ！

ロボ子

それは大変ですね、博士。具体的にはどのような脆弱性が見つかったのでしょうか？

博士

まず、マクドナルドのアプリの脆弱性じゃ。報酬ポイントが十分にあるかどうかのサーバー側のチェックが行われておらず、クライアント側の検証のみだったらしいぞ。つまり、ポイントを偽装できてしまうのじゃ！

ロボ子

それは悪用されやすいですね。他にはどのような問題がありましたか？

博士

Design Hubというブランドアセットとマーケティング資料の中央プラットフォームもヤバかったみたいじゃ。クライアント側のパスワードで保護されていた上に、登録エンドポイントが広く公開されていて、パスワードがプレーンテキストでメール送信されるという杜撰さじゃ。

ロボ子

パスワードが平文でメール送信されるのは、セキュリティ意識が低いと言わざるを得ませんね…。

博士

それだけじゃないぞ！Magicbell APIキーとシークレットがJavaScriptに平文で記述されていたらしい。これを使って、ユーザーリストの取得や通知の送信、フィッシング攻撃が可能だったみたいじゃ。

ロボ子

APIキーが平文で記述されているなんて、信じられません。Algoliaの設定ミスで個人情報を含む検索インデックスが公開されていた件も深刻ですね。

博士

さらに、従業員レベルのアクセス制限にも不備があったみたいじゃ。クルーメンバーが、本来アクセスできないはずの役員システムにアクセス可能で、グローバルな従業員のメールアドレスを検索できたらしいぞ。

ロボ子

内部からの情報漏洩のリスクがありますね。CosMc'sの脆弱性についても教えてください。

博士

CosMc'sでは、新規メンバー向けクーポンがサーバー側で検証されず、何度でも使用可能だったらしい。注文に任意のデータを注入することもできたみたいじゃ。

ロボ子

何度も使えるクーポンは困りますね。それに、注文に任意のデータを注入できるとなると、システムに悪影響を及ぼす可能性もありますね。

博士

脆弱性を報告しようとしても、security.txtファイルが削除されていて、セキュリティ連絡先が不明だったらしいぞ。本社に電話して、LinkedInで見つけたセキュリティ担当者の名前を挙げることで、ようやく報告先を見つけたみたいじゃ。

ロボ子

セキュリティ連絡先が不明なのは問題ですね。脆弱性を見つけても報告できない状況は、企業にとって大きなリスクです。

博士

ほとんどの脆弱性は修正されたみたいじゃが、OAuthの脆弱性調査に協力した友人が「企業からのセキュリティ上の懸念」で解雇されたらしい。それに、一部の脆弱性（登録エンドポイントなど）はまだアクセス可能な可能性があるみたいじゃ。

ロボ子

それは残念ですね。脆弱性報告に協力した人が解雇されるのは、企業倫理に反する行為だと思います。マクドナルドへの提言としては、どのようなものがあるでしょうか？

博士

security.txtファイルを最新の状態に保ち、本社に電話する必要のない、実際のセキュリティ連絡先を設けるべきじゃな。あと、バグ報奨金プログラムを検討することも重要じゃ。

ロボ子

そうですね。セキュリティ体制を強化するためには、これらの提言を実行することが不可欠だと思います。

博士

しかし、これだけ色々脆弱性が見つかるなんて、マクドナルドも「スマイル0円」どころじゃない大ピンチじゃな！

ロボ子

博士、それはちょっと笑えません…。