McDonald's: URL ändern bringt Zugriff auf sensible interne Daten
Ein Sicherheitsforscher hat massive Sicherheitslücken in Online-Plattformen von McDonald's öffentlich gemacht. Seine Recherche zeigt, wie einfach es war, sich Zugang zu vertraulichen Daten des Fast-Food-Konzerns zu verschaffen.
Ursprünglich war der Zugang lediglich durch ein clientseitiges Passwort geschützt - eine seit Jahren als unsicher geltende Praxis. Nachdem Bob die Schwachstelle gemeldet hatte, dauerte es drei Monate, bis McDonald's ein neues Anmeldesystem einführte. Doch auch dieses ließ sich leicht umgehen: Wer in der URL den Begriff "login" auf "register" änderte, konnte problemlos ein neues Konto erstellen und sich damit Zugang zum System verschaffen.
Noch problematischer: Das Portal verschickte Passwörter neu erstellter Konten im Klartext per E-Mail - ein Vorgehen, das in der IT-Sicherheitswelt seit Jahrzehnten als inakzeptabel gilt.
Zudem sei die Möglichkeit, Sicherheitslücken offiziell zu melden, erschreckend schlecht organisiert gewesen, so der Sicherheitsforscher. Laut BobDaHacker hielt McDonald's zwar kurzzeitig eine Security.txt-Datei mit Kontaktinformationen auf seiner Website bereit. Diese sei jedoch nach zwei Monaten wieder entfernt worden. Um dennoch jemanden zu erreichen, rief der Forscher mehrfach bei der Konzernzentrale an und nannte willkürlich Namen von Sicherheitsmitarbeitern, die er auf LinkedIn gefunden hatte - bis schließlich jemand reagierte.
Die Enthüllungen wiegen besonders schwer, da erst vor wenigen Wochen ein anderer Vorfall Schlagzeilen machte: Ein internes System mit sensiblen Informationen war dort mit dem simplen Passwort "123456" geschützt. Nun zeigen die neuen Funde, dass Unbefugte über den Design-Hub nicht nur interne Marketingstrategien einsehen, sondern auch die Kontaktdaten sämtlicher McDonald's-Mitarbeiter weltweit abrufen konnten.
Siehe auch:
Eine kleine Änderung in der URL
Wie aus einem Bericht des Hackers mit dem Pseudonym BobDaHacker hervorgeht, reichten teilweise so banale Methoden wie das Austauschen eines einzigen Wortes in einer Webadresse. Im Mittelpunkt des Geschehens steht der sogenannte "Feel-Good Design Hub". Dabei handelt es sich um eine zentrale Plattform, über die Mitarbeiter und externe Agenturen in mehr als 120 Ländern auf Markenmaterialien und Marketing-Ressourcen zugreifen können.Ursprünglich war der Zugang lediglich durch ein clientseitiges Passwort geschützt - eine seit Jahren als unsicher geltende Praxis. Nachdem Bob die Schwachstelle gemeldet hatte, dauerte es drei Monate, bis McDonald's ein neues Anmeldesystem einführte. Doch auch dieses ließ sich leicht umgehen: Wer in der URL den Begriff "login" auf "register" änderte, konnte problemlos ein neues Konto erstellen und sich damit Zugang zum System verschaffen.
Noch problematischer: Das Portal verschickte Passwörter neu erstellter Konten im Klartext per E-Mail - ein Vorgehen, das in der IT-Sicherheitswelt seit Jahrzehnten als inakzeptabel gilt.
Zudem sei die Möglichkeit, Sicherheitslücken offiziell zu melden, erschreckend schlecht organisiert gewesen, so der Sicherheitsforscher. Laut BobDaHacker hielt McDonald's zwar kurzzeitig eine Security.txt-Datei mit Kontaktinformationen auf seiner Website bereit. Diese sei jedoch nach zwei Monaten wieder entfernt worden. Um dennoch jemanden zu erreichen, rief der Forscher mehrfach bei der Konzernzentrale an und nannte willkürlich Namen von Sicherheitsmitarbeitern, die er auf LinkedIn gefunden hatte - bis schließlich jemand reagierte.
Angreifer lieben es
Nach Angaben des Hackers habe McDonald's die meisten von ihm gemeldeten Schwachstellen zwar behoben. Allerdings wurde ein befreundeter Mitarbeiter, der ihn bei den Analysen unterstützte, von dem Unternehmen nicht weiter beschäftigt. Auch ein dauerhaft verlässlicher Kanal für die Meldung neuer Sicherheitsprobleme wurde bis heute nicht eingerichtet.Die Enthüllungen wiegen besonders schwer, da erst vor wenigen Wochen ein anderer Vorfall Schlagzeilen machte: Ein internes System mit sensiblen Informationen war dort mit dem simplen Passwort "123456" geschützt. Nun zeigen die neuen Funde, dass Unbefugte über den Design-Hub nicht nur interne Marketingstrategien einsehen, sondern auch die Kontaktdaten sämtlicher McDonald's-Mitarbeiter weltweit abrufen konnten.
Zusammenfassung
- Ein Sicherheitsforscher deckt gravierende IT-Schwachstellen bei McDonald's auf
- Fast-Food-Konzern schützte zentrale Plattform nur mit clientseitigem Passwort
- URL-Manipulation ermöglichte unautorisierten Zugang zum globalen Design Hub
- Passwörter wurden im Klartext per E-Mail versendet - ein massiver Sicherheitsverstoß
- Sicherheitslücken-Meldesystem war mangelhaft und zeitweise nicht vorhanden
- Internes System war kürzlich mit dem simplen Passwort '123456' geschützt
- Unbefugte konnten weltweite Mitarbeiterdaten und Marketingstrategien einsehen
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Backup & Datenrettung:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen