McDonald’s France подтвердил инцидент с данными клиентов программы лояльности McDo+. Злоумышленники получили доступ к части информации, связанной с бонусными аккаунтами, после чего у некоторых клиентов начали исчезать баллы. Компания заявила, что приняла корректирующие меры, защитила затронутую среду и запустила обновление клиентских идентификаторов.
McDonald’s France отдельно сообщил, что чувствительные и финансовые данные не просматривались. Инцидент затронул программу лояльности: баллы клиентов использовали для заказов без их согласия. Французские СМИ пишут о десятках пострадавших аккаунтов, точное число компания не раскрыла.
Первые признаки проблемы заметили сами пользователи. Клиенты McDo+ начали получать письма о смене идентификатора лояльности и отключении цифровой карты McDo+ в Apple Wallet и Android Wallet. После этого можно было создать новую виртуальную карту. В письмах компания объясняла действие защитой данных и безопасностью аккаунта, но подробности сразу не раскрывала.
Человек открывает приложение, проверяет бонусы и видит, что накопленные за месяцы баллы уже списаны. В одном из описанных случаев заказ прошёл в ресторане McDonald’s в Ницце — примерно в 940 километрах от обычного местоположения владельца аккаунта. Похожие жалобы появились в X, Reddit и TikTok: пользователи писали о списании сотен баллов и чужих заказах через их программу лояльности.
McDonald’s France объяснил инцидент действиями против двух внешних партнёров, которые участвуют в работе программы лояльности. Эти партнёры обнаружили попытки доступа к клиентской информации и после выявления проблемы приняли меры для защиты системы. Компания также заявила, что корректирующие действия позволили локализовать инцидент.
Главная уязвимая точка здесь — не платёжная карта, а идентификатор лояльности. В McDo+ пользователь копит баллы, затем обменивает их на скидки или позиции из меню. Если злоумышленник получает действующий идентификатор, он может использовать его в киоске самообслуживания: отсканировать штрихкод или вручную ввести номер, привязанный к чужому аккаунту. После этого баллы списываются как при обычном заказе.
01net писал, что идентификаторы аккаунтов McDo+ могли продаваться в Telegram и Discord. Покупатель получал доступ не к банковским данным, а к бонусному балансу. В TikTok также появлялись ролики, где показывали заказы с использованием чужих аккаунтов лояльности. Это типичная серая монетизация: украденные данные превращаются не в перевод денег, а в бесплатную еду или скидки.
На практике такие атаки часто недооценивают. Бонусные баллы кажутся мелочью рядом с банковским счётом, паспортом или медицинской картой. Но для злоумышленника это ликвидный актив. У программы лояльности есть готовая инфраструктура списания, понятная стоимость баллов и низкий психологический барьер: многие пользователи редко проверяют историю операций и могут заметить пропажу только через недели. Компания не раскрыла, какие именно поля были доступны атакующим, сколько аккаунтов затронуто и за какой период происходили списания.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
