l+f: McDonalds serviert klare Passwörter
Nicht so lecker: Das Kennwort befindet sich in einem Keks.
Durch das Ausnutzen einer XSS-Schwachstelle in der offiziellen McDonalds-Webseite erlangte der Sicherheitsforscher Tijme Gommers eigenen Angaben zufolge Zugriff auf Passwörter von Accounts – im Klartext. In seinem Blog stellt Gommers den Übergriff ausführlich vor.
tl;dr (Die Kurzfassung)
Klickt ein Opfer auf einen präparierten Link, kann ein Angreifer einen lokalen Cookie abgreifen, in dem sich ein Passwort befindet. Folglich soll man dieses extrahieren und entschlüsseln können – der Schlüssel dafür soll für alle Kennwörter gleich sein. Aus Gommers Beitrag geht nicht hervor, ob McDonalds die Lücke bereits geschlossen hat.
In einem Reddit-Thread erntet Gommers für seine Offenlegung der Schwachstelle Kritik: Demzufolge soll er McDonalds Heiligabend 2016 darüber in Kenntnis gesetzt haben und keine zeitnahe Antwort erhalten haben. Am 5. Januar hat er dann seinen Blog-Eintrag veröffentlicht. McDonalds habe aufgrund verschiedener Feiertage schlicht keine Zeit zum Reagieren gehabt, so die Kritiker.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(des)
