Durch das Ausnutzen einer XSS-Schwachstelle in der offiziellen McDonalds-Webseite erlangte der Sicherheitsforscher Tijme Gommers eigenen Angaben zufolge Zugriff auf Passwörter von Accounts – im Klartext. In seinem Blog stellt Gommers den Übergriff ausführlich vor.



tl;dr (Die Kurzfassung)



Klickt ein Opfer auf einen präparierten Link, kann ein Angreifer einen lokalen Cookie abgreifen, in dem sich ein Passwort befindet. Folglich soll man dieses extrahieren und entschlüsseln können – der Schlüssel dafür soll für alle Kennwörter gleich sein. Aus Gommers Beitrag geht nicht hervor, ob McDonalds die Lücke bereits geschlossen hat.



In einem Reddit-Thread erntet Gommers für seine Offenlegung der Schwachstelle Kritik: Demzufolge soll er McDonalds Heiligabend 2016 darüber in Kenntnis gesetzt haben und keine zeitnahe Antwort erhalten haben. Am 5. Januar hat er dann seinen Blog-Eintrag veröffentlicht. McDonalds habe aufgrund verschiedener Feiertage schlicht keine Zeit zum Reagieren gehabt, so die Kritiker.

