Menü
Security

l+f: McDonalds serviert klare Passwörter

Nicht so lecker: Das Kennwort befindet sich in einem Keks.

vorlesen Drucken Kommentare lesen 33 Beiträge

Durch das Ausnutzen einer XSS-Schwachstelle in der offiziellen McDonalds-Webseite erlangte der Sicherheitsforscher Tijme Gommers eigenen Angaben zufolge Zugriff auf Passwörter von Accounts – im Klartext. In seinem Blog stellt Gommers den Übergriff ausführlich vor.

Klickt ein Opfer auf einen präparierten Link, kann ein Angreifer einen lokalen Cookie abgreifen, in dem sich ein Passwort befindet. Folglich soll man dieses extrahieren und entschlüsseln können – der Schlüssel dafür soll für alle Kennwörter gleich sein. Aus Gommers Beitrag geht nicht hervor, ob McDonalds die Lücke bereits geschlossen hat.

In einem Reddit-Thread erntet Gommers für seine Offenlegung der Schwachstelle Kritik: Demzufolge soll er McDonalds Heiligabend 2016 darüber in Kenntnis gesetzt haben und keine zeitnahe Antwort erhalten haben. Am 5. Januar hat er dann seinen Blog-Eintrag veröffentlicht. McDonalds habe aufgrund verschiedener Feiertage schlicht keine Zeit zum Reagieren gehabt, so die Kritiker.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(des)